在互聯(lián)網(wǎng)運維中，用戶認證是個常見需求。LDAP（輕量級目錄訪問協(xié)議）是一種集中管理用戶信息的工具，而 Nginx 則是高性能的反向代理服務器。將兩者結合，可以輕松實現(xiàn)基于 LDAP 的用戶認證。

今天我們就來聊聊，如何用 Nginx 和 LDAP 實現(xiàn)用戶認證，并通過實例一步步帶你實現(xiàn)這個功能。

為什么選擇 LDAP + Nginx？

• 統(tǒng)一用戶管理：LDAP集中管理用戶信息，避免多套系統(tǒng)重復維護。
• 高效穩(wěn)定：Nginx性能優(yōu)越，適合大并發(fā)場景。
• 簡單易用：通過簡單的配置即可完成認證邏輯。

實現(xiàn)思路

• 用戶訪問系統(tǒng)時，Nginx要求輸入賬號和密碼。
• Nginx將用戶輸入的憑證轉發(fā)給 LDAP 服務器驗證。
• 驗證成功后，用戶可訪問受保護的資源；失敗則拒絕訪問。

使用工具

在實現(xiàn)中，我們會用到一個 Nginx 第三方模塊：nginx-auth-ldap。這個模塊支持將用戶認證請求發(fā)送到 LDAP 服務器，非常適合我們的需求。

環(huán)境準備

環(huán)境信息：

• 操作系統(tǒng)：Ubuntu 20.04
• LDAP 服務器：OpenLDAP（IP：192.168.1.100）
• Nginx 版本：1.20+（需要編譯支持 nginx-auth-ldap 模塊）

安裝 Nginx 和 LDAP 模塊

1. 安裝必要組件

sudo apt update
sudo apt install nginx libldap2-dev libpcre3-dev build-essential -y

2. 下載和編譯 Nginx

由于默認安裝的 Nginx 不包含 nginx-auth-ldap 模塊，需要手動編譯。

wget http://nginx.org/download/nginx-1.20.2.tar.gz
tar -xzvf nginx-1.20.2.tar.gz
cd nginx-1.20.2

# 下載 nginx-auth-ldap 模塊
git clone https://github.com/kvspb/nginx-auth-ldap.git

# 配置和編譯
./configure --add-module=./nginx-auth-ldap --prefix=/etc/nginx --with-http_ssl_module
make
sudo make install

配置 Nginx 實現(xiàn) LDAP 認證

編輯 Nginx 配置文件，通常在 /etc/nginx/nginx.conf，以下是示例配置：

http {
    # 定義 LDAP 服務器
    ldap_server ldap_backend {
        url ldap://192.168.1.100:389/ou=users,dc=example,dc=com?uid?sub?(objectClass=posixAccount);
        binddn "cn=admin,dc=example,dc=com";
        binddn_passwd "admin_password";
        group_attribute memberUid;
        group_attribute_is_dn off;
        require valid_user;
    }

    server {
        listen 80;
        server_name example.com;

        # 為受保護資源啟用 LDAP 認證
        location /protected {
            auth_ldap "Restricted Area";
            auth_ldap_servers ldap_backend;
            root /var/www/html;
            index index.html;
        }
    }
}

配置解析

LDAP 服務器配置段

• url：指定 LDAP 服務器地址和過濾規(guī)則。
  • ou=users：指定搜索范圍為 users 組織單元。
  • uid：用戶登錄時使用 uid 屬性作為用戶名。
  • sub：表示遞歸搜索子節(jié)點。
• binddn：LDAP 管理員賬號，用于驗證時的搜索操作。
• binddn_passwd：管理員賬號密碼。

受保護資源段

• auth_ldap：啟用 LDAP 認證，并設置認證提示信息。
• auth_ldap_servers：指定關聯(lián)的 LDAP 服務器。

啟動服務并測試

• 重啟 Nginx保存配置后，執(zhí)行以下命令重啟 Nginx：

  sudo nginx -s reload
  

• 訪問測試

  • 在瀏覽器中訪問 http://example.com/protected。
  • 會彈出登錄框，輸入 LDAP 用戶名和密碼進行測試。
  • 認證通過后，頁面顯示內(nèi)容；否則返回 401 Unauthorized。

測試示例

假設 LDAP 用戶信息如下：

• 用戶名：testuser
• 密碼：testpassword
• 用戶位于：ou=users,dc=example,dc=com

測試認證流程

• 瀏覽器中輸入用戶名和密碼：

  • 用戶名：testuser
  • 密碼：testpassword

• 驗證成功，瀏覽器正常加載頁面。如果失敗，請檢查 Nginx 日志。

檢查日志

Nginx 的日志文件通常位于 /var/log/nginx/error.log，查看其中的 LDAP 認證相關信息：

sudo tail -f /var/log/nginx/error.log

常見問題

問題 1：LDAP 無法連接

• 檢查服務狀態(tài)：

  sudo systemctl status slapd
  

• 測試連接：

  ldapsearch -x -H ldap://192.168.1.100 -b "dc=example,dc=com"
  

問題 2：認證失敗

• 確保 binddn 和 binddn_passwd 正確。
• 確認 uid 屬性是否存在于 LDAP 用戶條目中。

總結

通過 Nginx 和 LDAP 的結合，可以輕松實現(xiàn)集中化的用戶認證。這種方案不僅安全高效，還能降低運維管理成本，非常適合需要統(tǒng)一用戶管理的場景。

到此這篇關于使用LDAP實現(xiàn)Nginx用戶認證的示例的文章就介紹到這了,更多相關Nginx LDAP用戶認證內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家！

最新評論