Что такое LDAP и как настроить каталог?

Что такое LDAP?

LDAP (Lightweight Directory Access Protocol) — это протокол для доступа к службам каталогов, который обеспечивает централизованное хранение и управление информацией о пользователях, группах, компьютерах и других ресурсах в сетевой среде. LDAP широко используется для аутентификации и авторизации в корпоративных системах.

Основные возможности LDAP

Централизованное управление — единый каталог пользователей и ресурсов
Иерархическая структура — древовидная организация данных (DIT)
Стандартизация — открытый стандарт с широкой поддержкой
Масштабируемость — поддержка репликации и кластеризации
Безопасность — поддержка SSL/TLS и различных методов аутентификации
Гибкость — настраиваемые схемы данных

Когда использовать LDAP

LDAP идеально подходит для:

Централизованной аутентификации в корпоративной среде
Управления пользователями и группами в организации
Интеграции различных систем с единым каталогом
Хранения конфигурационной информации
Создания адресных книг и справочников

Установка OpenLDAP

Установка на Ubuntu/Debian:

# Установка OpenLDAP сервера
sudo apt update
sudo apt install slapd ldap-utils

# Настройка базовой конфигурации
sudo dpkg-reconfigure slapd

Установка через Docker:

# Запуск OpenLDAP в Docker
docker run -d \
  --name openldap \
  -p 389:1389 \
  -p 636:1636 \
  -e LDAP_ORGANISATION="My Company" \
  -e LDAP_DOMAIN="company.com" \
  -e LDAP_ADMIN_PASSWORD="admin" \
  -e LDAP_CONFIG_PASSWORD="config" \
  -e LDAP_TLS_VERIFY_CLIENT="never" \
  osixia/openldap:latest

Docker Compose конфигурация

version: '3.8'
services:
  openldap:
    image: osixia/openldap:latest
    container_name: openldap
    environment:
      LDAP_ORGANISATION: "My Company"
      LDAP_DOMAIN: "company.com"
      LDAP_ADMIN_PASSWORD: "admin"
      LDAP_CONFIG_PASSWORD: "config"
      LDAP_BASE_DN: "dc=company,dc=com"
      LDAP_TLS_VERIFY_CLIENT: "never"
    ports:
      - "389:389"
      - "636:636"
    volumes:
      - ldap_data:/var/lib/ldap
      - ldap_config:/etc/ldap/slapd.d
    restart: unless-stopped

  phpldapadmin:
    image: osixia/phpldapadmin:latest
    container_name: phpldapadmin
    environment:
      PHPLDAPADMIN_LDAP_HOSTS: openldap
      PHPLDAPADMIN_HTTPS: "false"
    ports:
      - "8080:80"
    depends_on:
      - openldap
    restart: unless-stopped

volumes:
  ldap_data:
  ldap_config:

Базовая структура LDAP

Пример создания организационной структуры:

# base.ldif
dn: ou=users,dc=company,dc=com
objectClass: organizationalUnit
ou: users

dn: ou=groups,dc=company,dc=com
objectClass: organizationalUnit
ou: groups

dn: cn=developers,ou=groups,dc=company,dc=com
objectClass: groupOfNames
cn: developers
member: cn=john.doe,ou=users,dc=company,dc=com

dn: cn=john.doe,ou=users,dc=company,dc=com
objectClass: inetOrgPerson
cn: john.doe
sn: Doe
givenName: John
mail: john.doe@company.com
uid: john.doe
userPassword: {SSHA}hashed-password

Добавление записей в LDAP:

# Добавление структуры
ldapadd -x -D "cn=admin,dc=company,dc=com" -W -f base.ldif

Работа с LDAP через командную строку

# Поиск всех пользователей
ldapsearch -x -H ldap://localhost:389 \
  -D "cn=admin,dc=company,dc=com" -W \
  -b "ou=users,dc=company,dc=com" \
  "(objectClass=inetOrgPerson)"

# Поиск конкретного пользователя
ldapsearch -x -H ldap://localhost:389 \
  -D "cn=admin,dc=company,dc=com" -W \
  -b "dc=company,dc=com" \
  "(uid=john.doe)"

# Изменение пароля пользователя
ldappasswd -x -H ldap://localhost:389 \
  -D "cn=admin,dc=company,dc=com" -W \
  "cn=john.doe,ou=users,dc=company,dc=com" -S

# Удаление записи
ldapdelete -x -H ldap://localhost:389 \
  -D "cn=admin,dc=company,dc=com" -W \
  "cn=john.doe,ou=users,dc=company,dc=com"

Интеграция с Python

Установка библиотеки:

pip install python-ldap3
poetry add python-ldap3

Пример работы с LDAP:

from ldap3 import Server, Connection, ALL, SUBTREE

# Подключение к LDAP серверу
server = Server('localhost', port=389, get_info=ALL)
conn = Connection(
    server,
    user='cn=admin,dc=company,dc=com',
    password='admin',
    auto_bind=True
)

# Поиск пользователей
conn.search(
    search_base='ou=users,dc=company,dc=com',
    search_filter='(objectClass=inetOrgPerson)',
    search_scope=SUBTREE,
    attributes=['cn', 'mail', 'uid']
)

for entry in conn.entries:
    print(f"User: {entry.cn}, Email: {entry.mail}")

# Аутентификация пользователя
def authenticate_user(username, password):
    user_dn = f"cn={username},ou=users,dc=company,dc=com"
    try:
        user_conn = Connection(server, user=user_dn, password=password)
        return user_conn.bind()
    except:
        return False

# Добавление нового пользователя
user_dn = 'cn=jane.smith,ou=users,dc=company,dc=com'
user_attrs = {
    'objectClass': ['inetOrgPerson'],
    'cn': 'jane.smith',
    'sn': 'Smith',
    'givenName': 'Jane',
    'mail': 'jane.smith@company.com',
    'uid': 'jane.smith',
    'userPassword': 'password123'
}

conn.add(user_dn, attributes=user_attrs)

conn.unbind()

Интеграция с Django

pip install django-auth-ldap
poetry add django-auth-ldap

Настройка в settings.py:

# settings.py
import ldap
from django_auth_ldap.config import LDAPSearch, GroupOfNamesType

AUTHENTICATION_BACKENDS = [
    'django_auth_ldap.backend.LDAPBackend',
    'django.contrib.auth.backends.ModelBackend',
]

AUTH_LDAP_SERVER_URI = "ldap://localhost:389"
AUTH_LDAP_BIND_DN = "cn=admin,dc=company,dc=com"
AUTH_LDAP_BIND_PASSWORD = "admin"

AUTH_LDAP_USER_SEARCH = LDAPSearch(
    "ou=users,dc=company,dc=com",
    ldap.SCOPE_SUBTREE,
    "(uid=%(user)s)"
)

AUTH_LDAP_USER_ATTR_MAP = {
    "first_name": "givenName",
    "last_name": "sn",
    "email": "mail"
}

AUTH_LDAP_GROUP_SEARCH = LDAPSearch(
    "ou=groups,dc=company,dc=com",
    ldap.SCOPE_SUBTREE,
    "(objectClass=groupOfNames)"
)

AUTH_LDAP_GROUP_TYPE = GroupOfNamesType()
AUTH_LDAP_REQUIRE_GROUP = None
AUTH_LDAP_DENY_GROUP = None

AUTH_LDAP_USER_FLAGS_BY_GROUP = {
    "is_active": "cn=active,ou=groups,dc=company,dc=com",
    "is_staff": "cn=staff,ou=groups,dc=company,dc=com",
    "is_superuser": "cn=superuser,ou=groups,dc=company,dc=com"
}

Настройка репликации

Конфигурация master-slave репликации:

# syncprov.ldif для master сервера
dn: cn=module,cn=config
objectClass: olcModuleList
cn: module
olcModulePath: /usr/lib/ldap
olcModuleLoad: syncprov.la

dn: olcOverlay=syncprov,olcDatabase={1}mdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcSyncProvConfig
olcOverlay: syncprov

Мониторинг LDAP

# Проверка статуса сервера
ldapsearch -x -H ldap://localhost:389 -s base -b "" \
  "(objectclass=*)" namingContexts

# Мониторинг производительности
ldapsearch -x -H ldap://localhost:389 \
  -D "cn=admin,dc=company,dc=com" -W \
  -b "cn=monitor" \
  "(objectclass=*)"

# Проверка подключений
netstat -an | grep :389

Безопасность LDAP

Настройка SSL/TLS:

# Генерация сертификата
openssl req -new -x509 -nodes -out ldap-cert.pem \
  -keyout ldap-key.pem -days 365

# Настройка TLS в slapd.conf
TLSCertificateFile /etc/ssl/certs/ldap-cert.pem
TLSCertificateKeyFile /etc/ssl/private/ldap-key.pem
TLSCACertificateFile /etc/ssl/certs/ca-cert.pem

Best Practices

Используй SSL/TLS для защиты передачи данных
Настраивай правильные ACL (Access Control Lists)
Регулярно создавай резервные копии каталога
Мониторь производительность и размер базы данных
Используй репликацию для высокой доступности

FAQ

Подходит ли LDAP для продакшена?

Да, LDAP является стандартом для корпоративных каталогов и широко используется в production средах. OpenLDAP и Microsoft Active Directory основаны на LDAP протоколе.

Какие требования к инфраструктуре?

Минимальные требования: 1 ГБ RAM, 1 CPU core, 10 ГБ дискового пространства. Для production рекомендуется репликация и мониторинг.

В чем разница между LDAP и Active Directory?

Active Directory — это реализация LDAP от Microsoft с дополнительными функциями для Windows сред. OpenLDAP — это open source реализация LDAP стандарта.

Что такое LDAP и как настроить каталог?

Протокол для доступа к службам каталогов с централизованным управлением пользователями и ресурсами