LDAP添加 memberOf 模块

最新推荐文章于 2025-07-03 09:17:57 发布
原创 最新推荐文章于 2025-07-03 09:17:57 发布 · 6.7k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#memberOf #Openldap #Linux

这篇博客介绍了如何通过ldap的成员关系扩展,解决group-user映射的问题。通常,ldap的groupOfNames仅允许通过group查询member,但无法反向查询。为了解决这个问题,文章详细阐述了如何启用reverse group membership maintenance,添加memberOf模块,以及相应的ldap配置步骤,以确保在添加或删除成员时自动维护user的memberOf字段,从而实现通过user获取其所属group的功能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

ldap的group是一种单独的类型objectClass: groupOfNames, 有个字段叫做member, value就是entry的dn。如此,实现了group-user的映射关系。

我们可以通过group来查询member,然而,并不能通过user直接获取到group。这在配置第三方系统的时候,没办法做group认证,比如airflow要求输入group filter, 默认通过memberof的属性值来获取group。gitlab如果要做分组进行登录限制要求输入 memberof 的属性值来获取 group。所以,理论上user应该有个字段叫做memberof,value是group。

大家可能会觉得dn已经很明显的分组了好吧,为啥还要这么复杂。事实上,ldap也提供了Reverse Group Membership Maintenance.由系统来维护二者的映射关系。即

  • group添加member的时候会自动给对应的entry添加memberof字段

  • 当删除entry的时候,也会从group里删除member字段

添加 memberOf 模块

添加 add_module_group.ldif 文件 在不知道memberof.la文件在什么位置时(find / -name memberof.la)

dn: cn=module,cn=config
cn: module
objectClass: olcModuleList
olcModulePath: /usr/lib64/openldap

dn: cn=module{0},cn=config
changetype: modify
add: olcModuleLoad
olcModuleLoad: memberof.la

应用ldap 配置

ldapadd -Q -Y EXTERNAL -H ldapi:/// -f  add_module_group.ldif

添加 add_group_objectClass.ldif 文件,增加 objectClass 支持

dn: olcOverlay=memberof,olcDatabase={2}hdb,cn=config
objectClass: olcConfig
objectClass: olcMemberOf
objectClass: olcOverlayConfig
objectClass: top
olcOverlay: memberof
olcMemberOfDangling: ignore
olcMemberOfRefInt: TRUE
olcMemberOfGroupOC: groupOfNames
olcMemberOfMemberAD: member     
olcMemberOfMemberOfAD: memberOf

应用 ldap 配置

ldapadd -Q -Y EXTERNAL -H ldapi:/// -f add_group_objectClass.ldif

新增 groupOfNames类型的组,add_group.ldif

dn: cn=gitlab-users,ou=Groups,dc=magic,dc=com
objectClass: groupOfNames
cn: gitlab-users
member: uid=xxx,ou=Users,dc=magic,dc=com

创建组

ldapmodify -a -H ldap://192.168.1.69:389 -D "cn=manager,dc=magic,dc=com" -w root123 -f addgroup.ldif

查看组

ldapsearch -H ldapi:/// -x -D "cn=manager,dc=magic,dc=com" -w root123 -b "ou=Groups,dc=magic,dc=com"
# gitlab-users, Groups, magic.com
dn: cn=gitlab-users,ou=Groups,dc=magic,dc=com
objectClass: groupOfNames
cn: gitlab-users
member: uid=xxx,ou=Users,dc=magic,dc=com

再来查看entry是否添加了memberof, ldapsearch当不指定字段的时候,默认返回全部强制字段,memberof不属于强制,需要单独指明

ldapsearch -H ldapi:/// -x -D "cn=manager,dc=magic,dc=com" -w root123 -b "ou=Users,dc=magic,dc=com" "(|(cn=xxx)(cn=gitlab*))" memberof

# extended LDIF
#
# LDAPv3
# base <ou=Users,dc=magic,dc=com> with scope subtree
# filter: (|(cn=xxx)(cn=gitlab*))
# requesting: memberof 
#

# xxx, Users, magic.com
dn: uid=xxx,ou=Users,dc=magic,dc=com
memberOf: cn=gitlab-users,ou=Groups,dc=magic,dc=com

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1

完成

Ldap笔记
shuangmu9768的博客
09-03 1万+
【1】ldap介绍 【2】centos搭建OpenLDAP 【3】LDAP的objectClass及Attribute 【4】Ubuntu下安装OpenLDAP图形管理工具 【5】OPENLDAP 访问控制 【6】LDAP常用命令 【7】自助修改或重置密码服务Self Service Password 【8】其他资料 【9】ldap数据迁移 【1】ldap介绍 LDAP入门 LDAP概念和原理介绍 Ldap中文网 OenLDAP 配置记录 LDAP的中文全称是:轻量级目录访问协议。 LDAP是一种通讯协议
OpenLDAP开启MemberOf及配置主从
格子的博客
07-05 1850
很多场景下,我们需要快速的查询某一个用户是属于哪一个或多个组的。`memberOf` 正是提供了这样的一个功能:如果某个组中通过 `member` 属性新增了一个用户,`OpenLDAP` 便会自动在该用户上创建一个 `memberOf` 属性,其值为该组的 `dn`。遗憾的是,`OpenLDAP` 默认并不启用这个特性,因此我们需要通过相关的配置开启它...............
GitLab集成LDAP登录并解决OpenLDAPmemberOf问题
热门推荐
点滴成长
09-14 2万+
LDAP是Light weight Directory Access Protocol(轻量级目录访问协议)的缩写,其前身是更为古老的DAP协议。该文章的亮点(也是写这篇文章的主要目的)是解决了 OpenLDAP(我使用的版本号为2.4.*)加载memberof模块,并通过groupOfNames和memberOf实现分组认证的功能。
springboot3X 整合高版本mybatisplus 出现Invalid valuefor attributefactoryBean0bjectType‘:java.lang.String
最新发布
烛照@123的博客
07-03 204
解决springboot高版本整合mybatis-plus出现的问题
python实现LDAP中组(group)添加用户(user)功能
周源的专栏
11-21 8018
因为没发现群组清空用户的功能,最开始写的函数是三个参数:群组标识、添加用户、删除用户。觉得接口不好用,后来发现组合下即可,代码如下: #清除,在将用户全部插入 def update_users(self, groupname, users=[]): """ :param groupname: 组名,字符串类型如"groupname";
ldap添加memberof支持
weixin_30896511的博客
08-13 995
安装请查看上一篇博客,传送门:https://www.cnblogs.com/crysmile/p/9470508.html 如果使用LDAP仅仅作为用户统一登录中心,则参考安装文档即可;如果ldap要与第三方软件结合,例如confluence、gitlab等结合,则需要开启memberof支持。 请根据实际需要,进行修改使用。 1、设置config支持密码验证。 vim 1-chroo...
启用OpenLDAPmemberOf特性
Listen2You的博客
09-14 7069
之前,我们已经通过 Docker 的方式安装部署了 OpenLDAP 服务。所以本文将主要介绍如何启用 OpenLDAP 中非常有用的 memberOf 特性。 很多场景下,我们需要快速的查询某一个用户是属于哪一个或多个组的(member of)。memberOf 正是提供了这样的一个功能:如果某个组中通过 member 属性新增了一个用户,OpenLDAP 便会自动在该用户上创建一个 memb...
OpenLDAP 启用memberof 完整示例
05-07
启用`memberof`涉及到多个步骤,包括系统和全局配置、模块开启以及数据的添加。 首先,我们需要确保系统已经安装了OpenLDAP服务器及其相关工具。在大多数Linux发行版中,可以通过包管理器(如`apt`或`yum`)来安装...
centos7中ldap的安装配置
邢宁
11-29 3291
前言 LDAP一般指轻型目录访问协议,基本概念这里就不介绍了,网上有很多相关的介绍。 公司内部服务很多,如gitlab、wiki、jira等,如果每个服务创建一个账户,维护起来很不方便,一般通过ldap来解决这种场景。 一、安装ldap 1、安装依赖 yum install *ltdl* gcc gcc-c++ -y 2、安装BDB tar -zxvf db-5.1.29.tar.gz cd db-5.1.29/build_unix/ ../dist/configure --prefix=/data/
古老的ldap服务器部署centos7详细步骤整理
weixin_45103766的博客
02-14 892
网上部署ldap的资料比较杂,大多数都不详细而且什么版本都有,经过自己的好几天瞎研究,终于整理出较详细的步骤和原理。 虚拟机系统 redhat7 首先清楚Ldap是一个协议 有不同的实现方法,我用openldap软件。 LDAP功能简介 公司内部会有许多第三方系统或服务,例如SVN、Git、VPN、Jira、Jenkins等等,每个系统都需要维护一份账号密码以支持用户认证,当然公司也会有许多的主机...
CentOS 6.5安装Openldap添加memberof属性
weixin_33922672的博客
10-13 505
默认情况下,openLDAP安装之后schema中是没有memberof属性的,如果只是通过ldap进行系统登录认证还没有什么影响,但是如果是和第三方应用结合,那么这就成了一件痛苦的事儿。环境说明主机名角色IP地址ldapserver.contoso.comopenLDAP server192.168.49.139一、准备环境[root@ldapserver~]#ipta...
ldap
fengfan2008vip的专栏
04-24 648
package ldap;import java.util.Properties;import javax.naming.*;import javax.naming.ldap.*;import javax.naming.directory.*;public class Client { public static void main(String[] ar
openLdap添加memberOf属性
weixin_30566111的博客
05-13 815
我为openldap添加memberof属性的时候参考了这个文章:http://www.adimian.com/blog/2014/10/how-to-enable-memberof-using-openldap/ 但是文章上用的ldap的版本有些旧了,有些属性的名字在新的版本的ldap里边已经变更了,所以记录一下。 变更有以下两点: 用户组的objectClass从 groupOfNames 变...
如何在OpenLDAP启用MemberOf
qq_23191379的博客
06-20 3562
文章目录OpenLDAP启用MemberOf创建用户测试 默认情况下OpenLDAP的用户组属性是Posixgroup,Posixgroup用户组和用户没有实际的对应关系。如果需要把Posixgroup和user关联起来则需要将用户添加到对应的组中。 通过如上配置可以满足大部分业务场景,但是如果需要通过用户组来查找用户的话,Posixgroup用户组属性,是无法满足要求的。此时需要使用OpenLDAP的groupOfUniqueNames用户组属性。 环境 OpenLDAP版本:2.4.44 系统:Ce
harbor与openldap集成(memberof
u010533742的博客
05-18 956
ldapURL:ldap://192.168.11.194 LDAP搜索DN:cn=admin,dc=fly,dc=cn #咨询ldap管理员,如果ldap支持匿名搜索这个不用配置 LDAP搜索密码:xxxxxx #咨询ldap管理员,如果ldap支持匿名搜索这个不用配置 LDAP基础DN:ou=users,dc=fly,dc=cn #LDAP过滤器:objectclass=posixAccount #如果开启了memberof属性参考
尝试debian-9.13.0-amd64下apache和proftpd用openldap整合按组认证笔记之一:openldap中加入memberOf特性
流窜疯的专栏
10-11 634
原本在debian-7.11.0-amd64下钻研同一个目标还没完全搞定,发现stretch最后一版已经发布,就干脆从零开始详细记录下过程 debian7 debian9 apache 2.2 2.4 openldap HDB MDB php 5.4 7.0 proftpd 1.3.5e ...
Cloudera Manager 配置 LDAP - 通过搜索绑定实现用户和组的映射
跟着大数据和AI去旅行
01-26 4014
直接绑定和搜索绑定 因为使用直接绑定方式,会导致集群无法被多个团队的多个角色混用。举个例子,我们有这样的场景: 用户 a1 属于组 A,组 A 对应 Sentry 中的 dev 角色; 用户 a2 属于组 A,组 A 对应 Sentry 中的 dev 角色; 用户 b1 属于组 B,组 B 对应 Sentry 中的 ops 角色; 用户 b2 属于组 B,组 B 对应 Sentry 中的 o
liferay通过ldap同步用户([用户组])设置(二)
xyy511的专栏
07-23 1860
转自:http://blog.sina.com.cn/s/blog_472b9eb20100ni26.html   Import & Export import(liferay4.2后可用): liferay能够周期性检查ldap server然后添加新增用户到 portal 数据库,如下: 查找新增用户,增加它们到portal并copy影射属性信息 同步ldap server已
python ldap3如何增加memberof属性
09-11
在使用Python的`ldap3`库进行LDAP操作时,`memberof`是一个扩展属性,它通常用来获取一个用户所属的所有组的DN(Distinguished Name)。要在`ldap3`中增加`memberof`属性,你需要确认LDAP服务器支持这一扩展操作,然后在执行查询时指定这一属性。 以下是一个简单的例子,演示如何在使用`ldap3`时获取`memberof`属性: ```python from ldap3 import Server, Connection, ALL # 定义LDAP服务器和要连接的DN ldap_server = Server('ldap.example.com') ldap_conn = Connection(ldap_server, 'your_username', 'your_password', auto_bind=True) # 定义一个搜索基础DN search_base = 'DC=example,DC=com' # 执行搜索并获取结果,包括memberof属性 search_filter = '(objectClass=user)' ldap_conn.search(search_base, search_filter, attributes=['memberof']) # 输出搜索结果 for entry in ldap_conn.entries: print(f'DN: {entry.entry_dn}') print(f'MemberOf: {entry.memberOf}') ``` 在这个例子中,我们首先创建了一个到LDAP服务器的连接,然后执行了一个搜索操作,这个搜索操作会返回所有对象类为`user`的条目,并且请求`memberof`属性。`ldap3`库会处理与LDAP服务器的通信细节。 需要注意的是,并非所有的LDAP服务器默认都支持`memberof`这个扩展操作。有些LDAP服务器可能需要安装额外的模块或者进行特定配置后才能支持`memberof`扩展。此外,如果服务器不支持,执行上述操作可能会返回错误或空的`memberof`属性。 在实际应用中,你需要查阅你的LDAP服务器的文档来确认是否支持`memberof`扩展,并了解如何配置服务器以启用此功能。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值