foxmail的LDAP设置

安装“Foxmail企业地址簿”软件，该软件在站点foxfoxmailcomcn的下载区提供免费下载。
构建好网络地址簿服务器端之后，就可以在Foxmail下使用了。
点击Foxmail地址簿窗口“文件”菜单下的“新建连接”，将会d出“LDAP服务器”设置对话框。在“属性”页，需要填写需要填写以下属性：
“帐号名称”：就是新建连接的名称。
“服务器名”：网络地址簿服务器名称，也可以填写服务器的IP地址。
“此服务器要求登陆”：要访问网络地址簿，必须选中该复选项。
“帐号”、“密码”：每个网络地址簿的注册用户都有一个帐号和相应的密码。
“域”：网络地址簿下可以开设不同的域，这里填写帐号所在的域。
“LDAP服务器”设置对话框的“高级”页可以设置其他一些属性，一般使用默认值即可。
属性填写完成后，点击“确定”，将会在地址簿窗口树状列表中看到两个新的网络地址簿文件夹，一个是私人地址簿，一个是公共地址簿。展开网络地址簿文件夹，将看到状态栏出现“正在连接地址服务器，请稍候 按ESC建取消”的信息。
如果一切正常，将打开网络地址簿。对于网络地址簿中的私人地址簿，您可以像 *** 作本地地址簿一样进行各种 *** 作，对于网络地址簿中的公共地址簿，只能读取其中的联系人信息。每一个使用该网络地址簿的用户的E-mail地址都会自动添加到公共地址簿。

本人近期参与团队做Deepin相关的项目时，需要如同微软AD一样对各终端进行统一认证管理，则本想着通过搜索网上相关资料和官方相关文档一步一步 *** 作很快搞定，却发现网络上Deepin的这块指导文档几乎没有。通过本人对Linux系统的理解摸索和查看Deepin dde-session-ui源码资源，经反复的测验，最终走通了整个流程。为表示支持一下国产开源系统DeepinOS，决定整理分享一下相关指南以方便大家更快的使用DeepinOS深度性的功能，并集成应用到工作环境中去。
注：文档不会对LDAP Server部署与配置 *** 作进行说明，请查找网上相关资源，这方面比较多。另外本人应用的Deepin系统环境为V20社区版本。

默认此处安装时有Console UI可以配置LDAP client，可以忽略或按流程进行连接LDAP Server端设置，如果选择忽略则进行下面第二步 *** 作。

这两个为主要的LDAP客户端认证配置文件，如果在第一步通过UI界面配置了应该会自动生成相关的配置，则不需要手动修改配置。
可以参看一下本人环境配置实例，注意"X"需要根据自己实际的LDAP服务器信息选择协议与地址等配置(这方面配置可参照debian ldap客户端安装指南)。

/etc/pamd/common-auth
/etc/pamd/common-account
/etc/pamd/common-password
/etc/pamd/common-session-noninteractive

可参考一下本人环境的相关配置

配置文件位置
/usr/share/dde-session-ui/dde-session-uiconf

1）首先检验保障LDAP SERVER正常性（这块有ldapsearch工具等）
2）开启Deepin系统SSH服务，先通过SSH来验证LDAP用户与认证是否正常
3）tail -f /var/log/authlog 测试时实时查看日志信息，如果出错可以日志反馈信息排查问题点（本人遇到几次LDAP服务器连接问题，日志上可以明显提示出来并可查看是哪个进程报错，如是libnss还是pam_ldap相关的信息等）

希望本文对各位有帮助，同时望有更多的技术爱好者用行动去支持国产化系统的发展。

应该叫做LDAP服务器吧。
LDAP是轻量目录访问协议，英文全称是Lightweight Directory Access Protocol，一般都简称为LDAP。LDAP是一个比关系数据库抽象层次更高的存贮概念，与关系数据库的查询语言SQL属同一级别。LDAP最基本的形式是一个连接数据库的标准方式。LDAP对查询进行了优化，与写性能相比LDAP的读性能要优秀很多。LDAP最大的优势是：可以在任何计算机平台上，用很容易获得的而且数目不断增加的LDAP的客户端程序访问LDAP目录。
LDAP服务器，可以说是安装了LDAP软件，并提供LDAP支持和服务的服务器。

1安装软件：
yum install freeradius freeradius-ldap freeradius-utils -y

2启动服务
systemctl start radiusdservice
3开机自动启动
systemctl enable radiusdservice

4修改配置文件 /etc/raddb/mods-available/ldap主要是ldap部分，其它都是默认
[root@10-57-22-55 mods-available]# cat /etc/raddb/mods-available/ldap | grep -v '#' | grep -v ^$

5在 mods-enabled/ 下执行ln 注意后面有点

6在 sites-available/ 下创建 site_ldap
[root@10-57-22-55 sites-available]# cat site_ldap

7在 sites-enabled/ 下执行ln 注意后面有点

重启服务器
systemctl restart radiusdservice

测试 命令如下
radtest user password localhost:1833 0 testing123

以下结果表示成功：Received Access-Accep（密码带特殊字符需要用‘’引号引起来）

以下为密码错误Received Access-Reject

检查测试ldap配置

如果从LDAP服务器中删除了用户，则该用户也会在GitLab中被阻止。用户将立即被阻止登录。但是，LDAP检查缓存时间为一小时（请参阅注释），这意味着已经登录或通过SSH使用Git的用户仍然可以访问GitLab最多一个小时。在GitLab管理区域中手动阻止用户以立即阻止所有访问。

在集成AD后，为了兼容前期Gitlab创建的用户账号，在创建AD用户账号时只需保证 sAMAccountName，email 属性与Gitlab用户的 Username、电子邮箱 的值一致即可（密码可以不同），使用这种方式创建的AD账户登录Gitlab时Gitlab不会创建新用户。

Nginx Proxy Manager 是一个基于MIT协议的开源项目，这个项目实现了通过web界面管理控制一些Nignx常用的功能，比如重定向、反向代理、404、甚至提供了免费的SSL，Nginx-proxy-ldap-manager在Nginx Proxy Manager的基础上添加了nginx-auth-ldap认证模块。

docker-compose

管理界面端口: 81
默认管理员密码：

使用AD认证时才配置Advanced，auth_ldap_servers值与nginxconf文件中的ldap_server值对应

1 How to configure LDAP with GitLab CE
2 General LDAP Setup
3 nginx-auth-ldap
4 LDAP 认证
5 nginx-proxy-ldap-manager

简单的说来,LDAP是一个得到关于人或者资源的集中、静态数据的快速方式LDAP是一个用来发布目录信息到许多不同资源的协议通常它都作为一个集中的地址被使用,不过根据组织者的需要,它可以做得更加强大
LDAP其实是一个电话簿,类似于我们所使用诸如NIS(Network Information Service)、DNS (Domain Name Service)等网络目录,也类似于你在花园中所看到的树木
不少LDAP开发人员喜欢把LDAP与关系数据库相比,认为是另一种的存贮方式,然后在读性能上进行比较实际上,这种对比的基础是错误的LDAP和关系数据库是两种不同层次的概念,后者是存贮方式（同一层次如网格数据库,
对象数据库）,前者是存贮模式和访问协议LDAP是一个比关系数据库抽象层次更高的存贮概念,与关系数据库的查询语言SQL属同一级别LDAP最基本
的形式是一个连接数据库的标准方式该数据库为读查询作了优化因此它可以很快地得到查询结果,不过在其它方面,例如更新,就慢得多
特殊的数据库
从另一个意义上 LDAP是实现了指定的数据结构的存贮,它是一种特殊的数据库但是LDAP和一般的数据库不同,明确这一点是很重要的LDAP对查询进行了优化,与写性能相比LDAP的读性能要优秀很多
就象Sybase、Oracle、Informix或Microsoft的数据库管理系统（DBMS）是用于处理查询和更新关系型数据库那样,LDAP服务器也是用来处理查询和更新LDAP目录的换句话来说LDAP目录也是一种类型的数据库,但不是关系型数据库要特别注意的是,LDAP通常作为一个 hierarchical数据库使用,而不是一个关系数据库因此,它的结构用树来表示比用表格好正因为这样,就不能用SQL语句了
21世纪的LDAP技术发展很快几乎所有计算机平台上的所有的应用程序都可以从LDAP目录中获取信息LDAP目录中可以存储各种类型的数据：电子邮件地址、邮件路由信息、人力资源数据、公用密匙、联系人列表,等等通过把LDAP目录作为系统集成中的一个重要环节,可以简化员工在企业内部查询信息的步骤,甚至连主要的数据源都可以放在任何地方
服务器
LDAP服务器可以用“推”或“拉”的方法复制部分或全部数据,例如：可以把数据“推”到远程的办公室,以增加数据的安全性复制技术是内置在LDAP服务器中的而且很容易配置如果要在DBMS中使用相同的复制功能,数据库厂商就会要你支付额外的费用,而且也很难管理

JIRA与LDAP集成的工作机制是这样的：
1 用户信息依旧需要在JIRA中进行管理
2 只有密码验证在LDAP中完成
3 在LDAP中不存在的用户依旧可以通过JIRA本身的密码验证机制(OSUser)来进行身份校验
4 并非全部的LDAP用户都具有JIRA访问权限
配置JIRA与LDAP集成的方法是(以JIRA 421为例)：
1 进入Admin(管理) -> System(系统) -> LDAP
2 在LDAP Host(LDAP主机)中填入LDAP服务器地址
3 在BaseDN中填入LDAP的根节点名称
4 在Search Attribute中填入LDAP中包含JIRA登录用户名的属性名称
5 保存LDAP的修改
6 进入Admin(管理) -> General Configuration(通用设置)
7 打开External Password Management(外部密码管理)
8 保存退出并重启服务
除了可以利用JIRA现有的LDAP集成机制外，也可以考虑Atlassian Crowd这款独立的单点登录工具，Crowd和JIRA的结合非常好。JIRA的用户可完全在Crowd中进行管理。Crowd支持LDAP,Windows Active Directory等多种目录服务器，应用程序上支持JIRA、Confluence、FishEye、Crucible、GoogleApp、SVN等应用。可实现一个账户访问全部应用，并支持单点登录。

---