在互聯(lián)網(wǎng)運(yùn)維中，用戶認(rèn)證是個(gè)常見需求。LDAP（輕量級目錄訪問協(xié)議）是一種集中管理用戶信息的工具，而 Nginx 則是高性能的反向代理服務(wù)器。將兩者結(jié)合，可以輕松實(shí)現(xiàn)基于 LDAP 的用戶認(rèn)證。

今天我們就來聊聊，如何用 Nginx 和 LDAP 實(shí)現(xiàn)用戶認(rèn)證，并通過實(shí)例一步步帶你實(shí)現(xiàn)這個(gè)功能。

為什么選擇 LDAP + Nginx？

• 統(tǒng)一用戶管理：LDAP集中管理用戶信息，避免多套系統(tǒng)重復(fù)維護(hù)。
• 高效穩(wěn)定：Nginx性能優(yōu)越，適合大并發(fā)場景。
• 簡單易用：通過簡單的配置即可完成認(rèn)證邏輯。

實(shí)現(xiàn)思路

• 用戶訪問系統(tǒng)時(shí)，Nginx要求輸入賬號和密碼。
• Nginx將用戶輸入的憑證轉(zhuǎn)發(fā)給 LDAP 服務(wù)器驗(yàn)證。
• 驗(yàn)證成功后，用戶可訪問受保護(hù)的資源；失敗則拒絕訪問。

使用工具

在實(shí)現(xiàn)中，我們會(huì)用到一個(gè) Nginx 第三方模塊：nginx-auth-ldap。這個(gè)模塊支持將用戶認(rèn)證請求發(fā)送到 LDAP 服務(wù)器，非常適合我們的需求。

環(huán)境準(zhǔn)備

環(huán)境信息：

• 操作系統(tǒng)：Ubuntu 20.04
• LDAP 服務(wù)器：OpenLDAP（IP：192.168.1.100）
• Nginx 版本：1.20+（需要編譯支持 nginx-auth-ldap 模塊）

安裝 Nginx 和 LDAP 模塊

1. 安裝必要組件

sudo apt update
sudo apt install nginx libldap2-dev libpcre3-dev build-essential -y

2. 下載和編譯 Nginx

由于默認(rèn)安裝的 Nginx 不包含 nginx-auth-ldap 模塊，需要手動(dòng)編譯。

wget http://nginx.org/download/nginx-1.20.2.tar.gz
tar -xzvf nginx-1.20.2.tar.gz
cd nginx-1.20.2

# 下載 nginx-auth-ldap 模塊
git clone https://github.com/kvspb/nginx-auth-ldap.git

# 配置和編譯
./configure --add-module=./nginx-auth-ldap --prefix=/etc/nginx --with-http_ssl_module
make
sudo make install

配置 Nginx 實(shí)現(xiàn) LDAP 認(rèn)證

編輯 Nginx 配置文件，通常在 /etc/nginx/nginx.conf，以下是示例配置：

http {
    # 定義 LDAP 服務(wù)器
    ldap_server ldap_backend {
        url ldap://192.168.1.100:389/ou=users,dc=example,dc=com?uid?sub?(objectClass=posixAccount);
        binddn "cn=admin,dc=example,dc=com";
        binddn_passwd "admin_password";
        group_attribute memberUid;
        group_attribute_is_dn off;
        require valid_user;
    }

    server {
        listen 80;
        server_name example.com;

        # 為受保護(hù)資源啟用 LDAP 認(rèn)證
        location /protected {
            auth_ldap "Restricted Area";
            auth_ldap_servers ldap_backend;
            root /var/www/html;
            index index.html;
        }
    }
}

配置解析

LDAP 服務(wù)器配置段

• url：指定 LDAP 服務(wù)器地址和過濾規(guī)則。
  • ou=users：指定搜索范圍為 users 組織單元。
  • uid：用戶登錄時(shí)使用 uid 屬性作為用戶名。
  • sub：表示遞歸搜索子節(jié)點(diǎn)。
• binddn：LDAP 管理員賬號，用于驗(yàn)證時(shí)的搜索操作。
• binddn_passwd：管理員賬號密碼。

受保護(hù)資源段

• auth_ldap：啟用 LDAP 認(rèn)證，并設(shè)置認(rèn)證提示信息。
• auth_ldap_servers：指定關(guān)聯(lián)的 LDAP 服務(wù)器。

啟動(dòng)服務(wù)并測試

• 重啟 Nginx保存配置后，執(zhí)行以下命令重啟 Nginx：

  sudo nginx -s reload
  

• 訪問測試

  • 在瀏覽器中訪問 http://example.com/protected。
  • 會(huì)彈出登錄框，輸入 LDAP 用戶名和密碼進(jìn)行測試。
  • 認(rèn)證通過后，頁面顯示內(nèi)容；否則返回 401 Unauthorized。

測試示例

假設(shè) LDAP 用戶信息如下：

• 用戶名：testuser
• 密碼：testpassword
• 用戶位于：ou=users,dc=example,dc=com

測試認(rèn)證流程

• 瀏覽器中輸入用戶名和密碼：

  • 用戶名：testuser
  • 密碼：testpassword

• 驗(yàn)證成功，瀏覽器正常加載頁面。如果失敗，請檢查 Nginx 日志。

檢查日志

Nginx 的日志文件通常位于 /var/log/nginx/error.log，查看其中的 LDAP 認(rèn)證相關(guān)信息：

sudo tail -f /var/log/nginx/error.log

常見問題

問題 1：LDAP 無法連接

• 檢查服務(wù)狀態(tài)：

  sudo systemctl status slapd
  

• 測試連接：

  ldapsearch -x -H ldap://192.168.1.100 -b "dc=example,dc=com"
  

問題 2：認(rèn)證失敗

• 確保 binddn 和 binddn_passwd 正確。
• 確認(rèn) uid 屬性是否存在于 LDAP 用戶條目中。

總結(jié)

通過 Nginx 和 LDAP 的結(jié)合，可以輕松實(shí)現(xiàn)集中化的用戶認(rèn)證。這種方案不僅安全高效，還能降低運(yùn)維管理成本，非常適合需要統(tǒng)一用戶管理的場景。

到此這篇關(guān)于使用LDAP實(shí)現(xiàn)Nginx用戶認(rèn)證的示例的文章就介紹到這了,更多相關(guān)Nginx LDAP用戶認(rèn)證內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評論