使用LDAP(ApacheDS)构建统一认证服务(SSO单点登录)
构建团队协作的体系,需要涉及很多个系统,如SVN、Jenkins、Trac、Nexus等,而一般而言每个系统均有其用户体系,当我们新增一个成员的时候,需要在每个系统的用户体系中添加用户;这样的工作往往是比较繁琐而冗余的。
通过LDAP这种轻量级目录访问方式共享认证成为一种行业标准,大多数系统均支持LDAP的认证方式。
1、LDAP介绍
LDAP的介绍可以通过搜索引擎找到,不赘述。LDAP是一种协议,它不是具体的实现,主要特点:
a、简单;
b、树形结构;
c、有权限控制(ACL);
d、schema来控制数据结构;
e、可以安全访问(STLS或者SSL);
f、有简单的LDAP语法。
2、LDAP的应用场景
a、数字证书管理,授权管理,单点登录;
b、分布式系统中的UDDI;
c、网络资源管理,如DNS、Mail服务、用户管理
2、LDAP的服务端实现
a、openLDAP,这个比较著名,yum可以直接安装;
b、389 Directory Server,这个是Federa上面自带的企业服务;
c、ApacheDS(http://directory.apache.org),apache上面维护的目录服务,纯Java写的,支持Eclipse插件访问;
d、其他很多服务端实现可以参考(http://www.oschina.net/project/tag/180/ldap)。
3、LDAP的客户端
客户端的实现就很多了,比较流行的是PhpLDAPAdmin
LDAP详细介绍:LDAP中文学习手册.doc
服务端使用ApacheDS,客户端使用Apache Directory studio的Eclipse插件。
1、笔者是Java程序猿,apache的粉丝;
2、ApacheDS配置简单,十分可控;
3、ApacheDS支持Eclipse插件,可以在编写代码的时候,随时添加成员而无额外的成本;
安装ApacheDS可以参考官方资料--http://directory.apache.org/apacheds/basic-ug/1.3-installing-and-starting.html
Eclipse上面可以安装插件,http://directory.apache.org/studio/installation-in-eclipse.html
其实macketplace里面也有的,搜索“Apache Directory Studio” 就可以