使用LDAP实现Nginx用户认证的示例

在互联网运维中，用户认证是个常见需求。LDAP（轻量级目录访问协议）是一种集中管理用户信息的工具，而 Nginx 则是高性能的反向代理服务器。将两者结合，可以轻松实现基于 LDAP 的用户认证。

今天我们就来聊聊，如何用 Nginx 和 LDAP 实现用户认证，并通过实例一步步带你实现这个功能。

为什么选择 LDAP + Nginx？

统一用户管理：LDAP集中管理用户信息，避免多套系统重复维护。
高效稳定：Nginx性能优越，适合大并发场景。
简单易用：通过简单的配置即可完成认证逻辑。

实现思路

用户访问系统时，Nginx要求输入账号和密码。
Nginx将用户输入的凭证转发给 LDAP 服务器验证。
验证成功后，用户可访问受保护的资源；失败则拒绝访问。

使用工具

在实现中，我们会用到一个 Nginx 第三方模块：nginx-auth-ldap。这个模块支持将用户认证请求发送到 LDAP 服务器，非常适合我们的需求。

环境准备

环境信息：

操作系统：Ubuntu 20.04
LDAP 服务器：OpenLDAP（IP：192.168.1.100）
Nginx 版本：1.20+（需要编译支持 nginx-auth-ldap 模块）

安装 Nginx 和 LDAP 模块

1. 安装必要组件

sudo apt update
sudo apt install nginx libldap2-dev libpcre3-dev build-essential -y

2. 下载和编译 Nginx

由于默认安装的 Nginx 不包含 nginx-auth-ldap 模块，需要手动编译。

wget http://nginx.org/download/nginx-1.20.2.tar.gz
tar -xzvf nginx-1.20.2.tar.gz
cd nginx-1.20.2

# 下载 nginx-auth-ldap 模块
git clone https://github.com/kvspb/nginx-auth-ldap.git

# 配置和编译
./configure --add-module=./nginx-auth-ldap --prefix=/etc/nginx --with-http_ssl_module
make
sudo make install

配置 Nginx 实现 LDAP 认证

编辑 Nginx 配置文件，通常在 /etc/nginx/nginx.conf，以下是示例配置：

http {
    # 定义 LDAP 服务器
    ldap_server ldap_backend {
        url ldap://192.168.1.100:389/ou=users,dc=example,dc=com?uid?sub?(objectClass=posixAccount);
        binddn "cn=admin,dc=example,dc=com";
        binddn_passwd "admin_password";
        group_attribute memberUid;
        group_attribute_is_dn off;
        require valid_user;
    }

    server {
        listen 80;
        server_name example.com;

        # 为受保护资源启用 LDAP 认证
        location /protected {
            auth_ldap "Restricted Area";
            auth_ldap_servers ldap_backend;
            root /var/www/html;
            index index.html;
        }
    }
}

配置解析

LDAP 服务器配置段

url：指定 LDAP 服务器地址和过滤规则。
- ou=users：指定搜索范围为 users 组织单元。
- uid：用户登录时使用 uid 属性作为用户名。
- sub：表示递归搜索子节点。
binddn：LDAP 管理员账号，用于验证时的搜索操作。
binddn_passwd：管理员账号密码。

受保护资源段

auth_ldap：启用 LDAP 认证，并设置认证提示信息。
auth_ldap_servers：指定关联的 LDAP 服务器。

启动服务并测试

重启 Nginx保存配置后，执行以下命令重启 Nginx：
```
sudo nginx -s reload
```
访问测试
- 在浏览器中访问 http://example.com/protected。
- 会弹出登录框，输入 LDAP 用户名和密码进行测试。
- 认证通过后，页面显示内容；否则返回 401 Unauthorized。

测试示例

假设 LDAP 用户信息如下：

用户名：testuser
密码：testpassword
用户位于：ou=users,dc=example,dc=com

测试认证流程

浏览器中输入用户名和密码：
- 用户名：testuser
- 密码：testpassword
验证成功，浏览器正常加载页面。如果失败，请检查 Nginx 日志。

检查日志

Nginx 的日志文件通常位于 /var/log/nginx/error.log，查看其中的 LDAP 认证相关信息：

sudo tail -f /var/log/nginx/error.log

常见问题

问题 1：LDAP 无法连接

检查服务状态：
```
sudo systemctl status slapd
```

测试连接：

ldapsearch -x -H ldap://192.168.1.100 -b "dc=example,dc=com"

问题 2：认证失败

确保 binddn 和 binddn_passwd 正确。
确认 uid 属性是否存在于 LDAP 用户条目中。

总结

通过 Nginx 和 LDAP 的结合，可以轻松实现集中化的用户认证。这种方案不仅安全高效，还能降低运维管理成本，非常适合需要统一用户管理的场景。

到此这篇关于使用LDAP实现Nginx用户认证的示例的文章就介绍到这了,更多相关Nginx LDAP用户认证内容请搜索恩蓝小号以前的文章或继续浏览下面的相关文章希望大家以后多多支持恩蓝小号！

原创文章，作者：ASICD，如若转载，请注明出处：http://www.wangzhanshi.com/n/18812.html