authentik/ldap

authentik LDAP Outpost

镜像概述

authentik LDAP Outpost是开源身份提供商authentik的核心组件之一，作为LDAP协议代理，负责将外部LDAP请求转换为authentik内部认证流程。它允许依赖LDAP协议的应用程序通过authentik进行身份验证和授权，实现集中化身份管理，适用于从实验室环境到大型生产集群的各类部署场景。

核心功能与特性

• LDAP协议转换：将标准LDAP请求（如绑定、搜索、修改等操作）转换为authentik内部API调用
• 无缝集成：与authentik核心系统深度集成，共享用户数据、权限策略和认证流程
• 灵活配置：支持自定义LDAP基础DN、属性映射、访问控制规则
• 高可用性：支持多实例部署，确保服务连续性
• 安全合规：支持TLS加密，符合企业级安全标准

使用场景与适用范围

• 企业内部应用（如文件服务器、邮件系统、CRM系统）需要LDAP认证时的中间层
• 替代传统独立LDAP服务器，利用authentik的集中身份管理能力
• 混合环境中，统一管理LDAP协议应用与现代OAuth2/SAML应用的身份验证
• 需逐步迁移传统LDAP环境至现代身份管理系统的过渡方案

部署与配置

Docker Compose部署（推荐）

创建docker-compose.yml文件：

yaml
version: '3.8'

services:
  ldap-outpost:
    image: authentik/ldap-outpost:latest
    restart: unless-stopped
    environment:
      - AUTHENTIK_URL=https://authentik.example.com  # authentik核心URL
      - AUTHENTIK_TOKEN=your_outpost_token          # 从authentik管理界面获取的Outpost令牌
      - LDAP_PORT=389                               # LDAP服务端口（非TLS）
      - LDAPS_PORT=636                              # LDAPS服务端口（TLS）
      - LOG_LEVEL=info                              # 日志级别：debug/info/warning/error
    ports:
      - "389:389"
      - "636:636"
    volumes:
      - ./certs:/certs                              # 挂载TLS证书目录（可选）

启动服务：

bash
docker-compose up -d

Docker Run部署

bash
docker run -d \
  --name authentik-ldap-outpost \
  --restart unless-stopped \
  -p 389:389 \
  -p 636:636 \
  -e AUTHENTIK_URL=https://authentik.example.com \
  -e AUTHENTIK_TOKEN=your_outpost_token \
  -e LDAP_PORT=389 \
  -e LDAPS_PORT=636 \
  -v ./certs:/certs \
  authentik/ldap-outpost:latest

环境变量配置

注意事项

• 确保authentik核心服务与LDAP Outpost网络连通
• Outpost令牌需在authentik管理界面的"Outposts"部分创建并关联相应策略
• 生产环境中建议启用LDAPS（端口636）并使用有效TLS证书
• 高负载场景下可部署多个LDAP Outpost实例实现负载均衡

相关资源

• authentik官方文档
• https://hub.docker.com/r/authentik/ldap-outpost
• https://github.com/goauthentik/authentik