dalibo/ldap2pg Docker Image Overview

dalibo/ldap2pg

dalibo

用于从YAML或LDAP同步PostgreSQL角色和权限的瑞士军刀工具，可自动化管理角色的创建、更新、删除及权限授予与撤销。

1 次收藏下载次数: 0状态：社区镜像维护者：dalibo仓库类型：镜像最近更新：9 个月前

轩辕镜像，快一点，稳很多。点击查看

中文简介版本下载

轩辕镜像，快一点，稳很多。点击查看

ldap2pg Docker镜像文档

镜像概述

ldap2pg是一款自动化PostgreSQL角色和权限管理的工具，能够从YAML配置文件或LDAP目录同步角色信息，实现角色的创建、更新、删除以及权限的授予与撤销。它弥补了PostgreSQL原生LDAP密码验证功能的不足，为企业环境提供集中化、自动化的数据库访问控制管理解决方案。

核心功能与特性

通过直观的YAML配置文件定义同步规则
从LDAP搜索结果动态创建、修改和删除PostgreSQL角色
支持从YAML配置静态角色，补充LDAP条目
管理角色父级关系（即"组"功能）
可静态或基于LDAP条目授予、撤销权限
提供干运行（Dry run）模式，预览变更效果
支持检查模式，未同步时返回非零退出码
将LDAP搜索操作记录为ldapsearch(1)命令格式
记录所有执行的SQL语句，便于审计与调试

使用场景与适用范围

ldap2pg适用于需要集中管理PostgreSQL数据库访问权限的企业环境，特别适合以下场景：

从企业LDAP目录（如Active Directory、OpenLDAP）同步用户到PostgreSQL
通过YAML配置定义管理员角色或特殊用途角色
确保数据库角色权限与企业安全策略一致
自动化权限审计与合规检查流程

已验证支持的LDAP服务包括：Samba Directory、OpenLDAP、FreeIPA、Oracle Internet Directory和Microsoft Active Directory。

使用方法与配置说明

配置文件

ldap2pg必须使用配置文件（默认名为ldap2pg.yml）描述LDAP搜索规则和角色映射。可从项目仓库获取示例配置：

console
$ curl -LO [***]
$ editor ldap2pg.yml  # 根据实际需求修改

配置文件示例（版本6）：

yaml
version: 6

rules:
- role:
    name: nominal
    options: NOLOGIN
    comment: "Database owner"
- ldapsearch:
    base: ou=people,dc=ldap,dc=ldap2pg,dc=docker
    filter: "(objectClass=organizationalPerson)"
  role:
    name: '{cn}'
    options:
      LOGIN: yes
      CONNECTION LIMIT: 5

Docker部署示例

基本运行命令

bash
docker run -it --rm \
  -v $(pwd)/ldap2pg.yml:/etc/ldap2pg.yml:ro \
  -e POSTGRES_URI="postgresql://user:password@postgres-host:5432/dbname" \
  -e LDAP_URI="ldaps://ldap-host:636" \
  -e LDAP_BIND_DN="cn=admin,dc=example,dc=com" \
  -e LDAP_BIND_PASSWORD="secure-password" \
  dalibo/ldap2pg --config /etc/ldap2pg.yml

实际执行模式（应用变更）

bash
docker run -it --rm \
  -v $(pwd)/ldap2pg.yml:/etc/ldap2pg.yml:ro \
  dalibo/ldap2pg --config /etc/ldap2pg.yml --real

命令行参数说明

参数	描述
`--check`	检查模式，PostgreSQL实例未同步时退出码为1
`--color`	强制彩色输出（默认启用）
`-c, --config string`	YAML配置文件路径（使用`-`表示标准输入）
`-C, --directory string`	配置文件目录路径
`-?, --help`	显示帮助信息并退出
`-q, --quiet`	降低日志详细程度（可多次使用）
`-R, --real`	实际模式，应用变更到PostgreSQL实例
`-P, --skip-privileges`	禁用权限同步功能
`-v, --verbose`	增加日志详细程度（可多次使用）
`-V, --version`	显示版本信息并退出

执行示例

干运行模式（默认）

预览变更效果，不实际修改数据库：

console
$ docker run -it --rm -v $(pwd)/ldap2pg.yml:/etc/ldap2pg.yml dalibo/ldap2pg --config /etc/ldap2pg.yml
08:25:12 INFO   Starting ldap2pg                                 version=v6.0-alpha5 runtime=go1.21.0 commit=<none>
08:25:12 INFO   Using YAML configuration file.                   path=/etc/ldap2pg.yml
08:25:12 INFO   Running as unprivileged user.                    user=ldap2pg super=false server="PostgreSQL 15.3" cluster=ldap2pg-dev database=nominal
08:25:12 INFO   Connected to LDAP directory.                     uri=ldaps://ad.bridoulou.fr authzid="dn:cn=administrator,cn=users,dc=bridoulou,dc=fr"
08:25:12 INFO   Dry run. No change will be applied.
08:25:12 CHANGE Create role.                                     role=charles database=nominal
08:25:12 CHANGE Set role comment.                                role=charles database=nominal
08:25:12 CHANGE Inherit role for management.                     role=charles database=nominal

实际运行模式

应用变更到数据库：

console
$ docker run -it --rm -v $(pwd)/ldap2pg.yml:/etc/ldap2pg.yml dalibo/ldap2pg --config /etc/ldap2pg.yml --real
08:25:12 INFO   Starting ldap2pg                                 version=v6.0-alpha5 runtime=go1.21.0 commit=<none>
08:25:12 INFO   Using YAML configuration file.                   path=/etc/ldap2pg.yml
08:25:12 INFO   Real mode. Postgres instance will modified.
08:25:12 CHANGE Create role.                                     role=charles database=nominal
08:25:12 CHANGE Set role comment.                                role=charles database=nominal
08:25:12 CHANGE Inherit role for management.                     role=charles database=nominal
08:25:12 CHANGE Alter options.                                   role=alain options="LOGIN CONNECTION LIMIT 5" database=nominal