热门搜索:

gluufederation/opendj

gluufederation

Gluu Federation提供的OpenDJ Docker镜像，用于部署和运行OpenDJ LDAP服务器，支持配置与密钥管理、自动复制等功能，适用于身份管理和目录服务场景。

4 次收藏下载次数: 0状态：社区镜像维护者：gluufederation仓库类型：镜像最近更新：11 小时前

镜像标签列表与下载命令

镜像概述与主要用途

该Docker镜像由Gluu Federation提供，是OpenDJ的Docker打包版本，用于便捷部署和运行OpenDJ LDAP服务器。OpenDJ是一款功能强大的目录服务器，广泛应用于身份管理、用户数据存储和目录服务场景。本镜像支持多种配置和密钥管理适配器、自动LDAP复制等特性，简化了OpenDJ在容器化环境中的部署与运维。

版本信息

稳定版本：请参考https://github.com/GluuFederation/docker-opendj/releases%E9%A1%B5%E9%9D%A2%E8%8E%B7%E5%8F%96%E7%A8%B3%E5%AE%9A%E7%89%88%E6%9C%AC%E3%80%82
开发/不稳定版本：使用标签 gluufederation/opendj:5.0.0_dev。

环境变量

容器支持以下环境变量，用于配置服务行为：

配置管理相关

CN_CONFIG_ADAPTER：配置后端适配器，可选值为consul（默认）、kubernetes或google。
CN_CONFIG_CONSUL_HOST：Consul的主机名或IP（默认值：localhost）。
CN_CONFIG_CONSUL_PORT：Consul的端口（默认值：8500）。
CN_CONFIG_CONSUL_CONSISTENCY：Consul一致性模式，可选default、consistent或stale（默认值：stale）。
CN_CONFIG_CONSUL_SCHEME：Consul支持的协议（http或https）。
CN_CONFIG_CONSUL_VERIFY：是否验证证书（默认值：false）。
CN_CONFIG_CONSUL_CACERT_FILE：Consul CA证书文件路径（默认值：/etc/certs/consul_ca.crt）。当CN_CONFIG_CONSUL_VERIFY设为true且文件存在时使用。
CN_CONFIG_CONSUL_CERT_FILE：Consul证书文件路径（默认值：/etc/certs/consul_client.crt）。
CN_CONFIG_CONSUL_KEY_FILE：Consul密钥文件路径（默认值：/etc/certs/consul_client.key）。
CN_CONFIG_CONSUL_TOKEN_FILE：包含ACL令牌的文件路径（默认值：/etc/certs/consul_token）。
CN_CONFIG_KUBERNETES_NAMESPACE：Kubernetes命名空间（默认值：default）。
CN_CONFIG_KUBERNETES_CONFIGMAP：Kubernetes配置映射名称（默认值：jans）。
CN_CONFIG_KUBERNETES_USE_KUBE_CONFIG：是否从$HOME/.kube/config加载凭据（仅非容器环境有用，默认值：false）。
GOOGLE_PROJECT_ID：Google项目ID（默认值：空字符串）。当CN_CONFIG_ADAPTER或CN_SECRET_ADAPTER设为google时使用。
GOOGLE_APPLICATION_CREDENTIALS：包含Google凭据的JSON文件路径（可选）。参考Google云认证文档获取支持的凭据类型。

密钥管理相关

CN_SECRET_ADAPTER：密钥适配器，可选值为vault（默认）、kubernetes或google。
CN_SECRET_VAULT_VERIFY：是否验证Vault证书（默认值：false）。
CN_SECRET_VAULT_ROLE_ID_FILE：包含Vault AppRole角色ID的文件路径（默认值：/etc/certs/vault_role_id）。
CN_SECRET_VAULT_SECRET_ID_FILE：包含Vault AppRole密钥ID的文件路径（默认值：/etc/certs/vault_secret_id）。
CN_SECRET_VAULT_CERT_FILE：Vault证书文件路径（默认值：/etc/certs/vault_client.crt）。
CN_SECRET_VAULT_KEY_FILE：Vault密钥文件路径（默认值：/etc/certs/vault_client.key）。
CN_SECRET_VAULT_CACERT_FILE：Vault CA证书文件路径（默认值：/etc/certs/vault_ca.crt）。当CN_SECRET_VAULT_VERIFY设为true且文件存在时使用。
CN_SECRET_VAULT_ADDR：Vault的URL（默认值：http://localhost:8200）。
CN_SECRET_VAULT_NAMESPACE：访问密钥时使用的命名空间（默认值：空字符串）。
CN_SECRET_VAULT_KV_PATH：KV密钥引擎的路径（默认值：secret）。
CN_SECRET_VAULT_PREFIX：构建密钥路径的基础前缀（默认值：jans）。
CN_SECRET_VAULT_APPROLE_PATH：AppRole的路径（默认值：approle）。
CN_SECRET_KUBERNETES_NAMESPACE：Kubernetes命名空间（默认值：default）。
CN_SECRET_KUBERNETES_CONFIGMAP：Kubernetes密钥名称（默认值：jans）。
CN_SECRET_KUBERNETES_USE_KUBE_CONFIG：是否从$HOME/.kube/config加载凭据（仅非容器环境有用，默认值：false）。
CN_GOOGLE_SECRET_VERSION_ID：Google Secret Manager中Janssen密钥的版本ID（默认值：latest，推荐使用）。
CN_GOOGLE_SECRET_MANAGER_PASSPHRASE：Google Secret Manager中Janssen密钥的密码（推荐修改，默认值：secret）。
CN_GOOGLE_SECRET_NAME_PREFIX：Google Secret Manager中Janssen密钥的前缀（默认值：jans，若保留则创建jans-secret密钥）。

服务配置相关

CN_WAIT_MAX_TIME：启动时“健康检查”的最长运行时间（默认值：300秒）。
CN_WAIT_SLEEP_DURATION：启动“健康检查”之间的延迟时间（默认值：10秒）。
CN_CERT_ALT_NAME：证书中作为Subject Alt Name的额外DNS名称。若值非空且与现有证书中的Subject Alt Name不匹配（或不存在），则会重新生成新证书并覆盖配置后端中保存的证书。仅当部署oxShibboleth时需要，用于解决连接OpenDJ时CN与目标主机名不匹配的问题。注意：任何连接到OpenDJ的现有容器都必须重新部署以下载新证书。
CN_MAX_RAM_PERCENTAGE：传递给Java选项-XX:MaxRAMPercentage的值。
CN_JAVA_OPTIONS：传递给入口点的Java选项，如-Xmx1024m（默认值：空字符串）。

LDAP复制相关

CN_LDAP_AUTO_REPLICATE：是否自动启用复制（默认值：true）。
CN_LDAP_REPL_CHECK_INTERVAL：复制检查的间隔时间（秒，默认值：10）。
CN_LDAP_REPL_MAX_RETRIES：自动复制初始化的最大重试次数（默认值：10）。达到最大重试次数后，无论复制状态如何，进程都会停止（可能需要手动运行进程）。
CN_LDAP_REPL_SOURCE：作为复制源的地址（例如：ldap，默认值：空字符串）。
CN_LDAP_REPL_DISABLE_ON_EXIT：退出时是否自动禁用复制（默认值：true）。
CN_LDAP_USE_SSL：是否使用SSL连接到LDAP服务器（默认值：true）。

部署要求

全新部署

生成包含cn=Directory Manager密码的ldap_password密钥，例如：Test1234#。

生成包含信任库密码的ldap_truststore_password密钥，例如：

sh
tr -dc 'a-zA-Z0-9' < /dev/urandom | fold -w 12 | head -n 1

创建opendj.crt和opendj.key文件，例如：

sh
openssl req \
    -x509 \
    -newkey rsa:2048 \
    -sha256 \
    -days 365 \
    -nodes \
    -keyout opendj.key \
    -out opendj.crt \
    -subj '/CN=demoexample.jans.io' \
    -addext 'subjectAltName=DNS:ldap,DNS:opendj'

注意：需添加额外的DNS:<opendj-service-name>以匹配OpenDJ的Kubernetes服务名称。

使用以下命令准备ldap_ssl_cert密钥：

sh
cat opendj.crt | base64 -w0

使用以下命令准备ldap_ssl_key密钥：

sh
cat opendj.key | base64 -w0

将上述密钥放入configuration.json（部分键省略）：

json
{
    "_secret": {
        "ldap_password": "<ldap_password>",
        "ldap_truststore_pass": "<ldap_truststore_password>",
        "ldap_ssl_cert": "<ldap_ssl_cert>",
        "ldap_ssl_key": "<ldap_ssl_key>"
    },
    "_configmap": {
        "optional_scopes": "[\"couchbase\", \"ldap\", \"redis\", \"sql\"]",
        "admin_email": "support@demoexample.jans.io",
        "hostname": "demoexample.jans.io",
        "city": "Austin",
        "country_code": "US",
        "orgName": "Gluu",
        "state": "TX"
    }
}

若使用charts的values.yaml，按以下示例放置相关密钥：

yaml
config:
  ldapPassword: "<ldap_password>"
  ldapTruststorePassword: "<ldap_truststore_password>"
  configmap:
    cnLdapCrt: "<ldap_ssl_cert>"
    cnLdapKey: "<ldap_ssl_key>"

从现有设置迁移

在主机创建opendj_configuration_export.py：

py
import os

from jans.pycloudlib import get_manager

manager = get_manager()

# 拉取密钥供后续使用
manager.secret.to_file("ldap_ssl_cert", "/tmp/opendj.crt", decode=True)
manager.secret.to_file("ldap_ssl_key", "/tmp/opendj.key", decode=True)
manager.secret.to_file("ldap_truststore_pass", "/tmp/ldap_truststore_password")
manager.secret.to_file("encoded_ox_ldap_pw", "/tmp/ldap_password", decode=True)

# 转换并推送密钥
manager.secret.from_file("ldap_ssl_cert", "/tmp/opendj.crt")
manager.secret.from_file("ldap_ssl_key", "/tmp/opendj.key")
manager.secret.from_file("ldap_password", "/tmp/ldap_password")

将脚本复制到现有Pod并运行，例如：

sh
kubectl -n jans cp opendj_configuration_export.py jans-auth-xzddfi:/tmp/opendj_configuration_export.py

# 此脚本将创建所需文件
kubectl -n jans exec jans-auth-xzddfi -- python3 /tmp/opendj_configuration_export.py

下载脚本生成的文件，例如：

sh
kubectl -n jans cp jans-auth-xzddfi:/tmp/ldap_password ldap_password
kubectl -n jans cp jans-auth-xzddfi:/tmp/ldap_truststore_password ldap_truststore_password
kubectl -n jans cp jans-auth-xzddfi:/tmp/opendj.crt opendj.crt
kubectl -n jans cp jans-auth-xzddfi:/tmp/opendj.key opendj.key

使用以下命令准备ldap_ssl_cert密钥：

sh
cat opendj.crt | base64 -w0

使用以下命令准备ldap_ssl_key密钥：

sh
cat opendj.key | base64 -w0

将上述密钥放入configuration.json（部分键省略）：

json
{
    "_secret": {
        "ldap_password": "<ldap_password>",
        "ldap_truststore_pass": "<ldap_truststore_password>",
        "ldap_ssl_cert": "<ldap_ssl_cert>",
        "ldap_ssl_key": "<ldap_ssl_key>"
    },
    "_configmap": {
        "optional_scopes": "[\"couchbase\", \"ldap\", \"redis\", \"sql\"]",
        "admin_email": "support@demoexample.jans.io",
        "hostname": "demoexample.jans.io",
        "city": "Austin",
        "country_code": "US",
        "orgName": "Gluu",
        "state": "TX"
    }
}

若使用charts的values.yaml，按以下示例放置相关密钥：

yaml
config:
  ldapPassword: "<ldap_password>"
  ldapTruststorePassword: "<ldap_truststore_password>"
  configmap:
    cnLdapCrt: "<ldap_ssl_cert>"
    cnLdapKey: "<ldap_ssl_key>"

部署策略

部署单个OpenDJ实例
扩展OpenDJ实例，默认会自动进行复制（另见LDAP复制）
移除任何OpenDJ实例前，在容器内运行python3 /app/scripts/deregister_peer.py（在Kubernetes中，可使用preStop钩子替代）

LDAP复制

当容器运行时，满足以下条件会自动触发复制过程：

集群中运行多个LDAP容器
o=jans、o=site、o=metric后端尚未复制且无条目

查看LDAP容器日志可了解结果，也可在容器内运行/opt/opendj/bin/dsreplication status检查复制状态。

镜像拉取方式

您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本，请访问标签列表页面。

轩辕镜像加速拉取命令点我查看更多 opendj 镜像标签

docker pull docker.xuanyuan.run/gluufederation/opendj:<标签>

使用方法：

DockerHub 原生拉取命令

docker pull gluufederation/opendj:<标签>

轩辕镜像配置手册

探索更多轩辕镜像的使用方法，找到最适合您系统的配置方式

Docker 配置

登录仓库拉取

通过 Docker 登录认证访问私有仓库

专属域名拉取

无需登录使用专属域名

K8s Containerd

Kubernetes 集群配置 Containerd

K3s

K3s 轻量级 Kubernetes 镜像加速

Dev Containers

VS Code Dev Containers 配置

Podman

Podman 容器引擎配置

Singularity/Apptainer

HPC 科学计算容器配置

其他仓库配置

ghcr、Quay、nvcr 等镜像仓库

Harbor 镜像源配置

Harbor Proxy Repository 对接专属域名

Portainer 镜像源配置

Portainer Registries 加速拉取

Nexus 镜像源配置

Nexus3 Docker Proxy 内网缓存

系统配置

Linux

在 Linux 系统配置镜像服务

Windows/Mac

在 Docker Desktop 配置镜像

MacOS OrbStack

MacOS OrbStack 容器配置

Docker Compose

Docker Compose 项目配置

NAS 设备

群晖

Synology 群晖 NAS 配置

飞牛

飞牛 fnOS 系统配置镜像

绿联

绿联 NAS 系统配置镜像

威联通

QNAP 威联通 NAS 配置

极空间

极空间 NAS 系统配置服务

网络设备

爱快路由

爱快 iKuai 路由系统配置

宝塔面板

在宝塔面板一键配置镜像

需要其他帮助？请查看我们的常见问题Docker 镜像访问常见问题解答或提交工单

镜像拉取常见问题

使用与功能问题

配置了专属域名后，docker search 为什么会报错？

docker search 限制

Docker Hub 上有的镜像，为什么在轩辕镜像网站搜不到？

站内搜不到镜像

机器不能直连外网时，怎么用 docker save / load 迁镜像？

离线 save/load

docker pull 拉插件报错（plugin v1+json）怎么办？

插件要用 plugin install

WSL 里 Docker 拉镜像特别慢，怎么排查和优化？

WSL 拉取慢

轩辕镜像安全吗？如何用 digest 校验镜像没被篡改？

安全与 digest

第一次用轩辕镜像拉 Docker 镜像，要怎么登录和配置？

新手拉取配置

轩辕镜像合规吗？轩辕镜像的合规是怎么做的？

镜像合规机制

错误码与失败问题

docker pull 提示 manifest unknown 怎么办？

manifest unknown

docker pull 提示 no matching manifest 怎么办？

no matching manifest（架构）

镜像已拉取完成，却提示 invalid tar header 或 failed to register layer 怎么办？

invalid tar header（解压）

Docker pull 时 HTTPS / TLS 证书验证失败怎么办？

TLS 证书失败

Docker pull 时 DNS 解析超时或连不上仓库怎么办？

DNS 超时

docker 无法连接轩辕镜像域名怎么办？

域名连通性排查

Docker 拉取出现 410 Gone 怎么办？

410 Gone 排查

出现 402 或「流量用尽」提示怎么办？

402 与流量用尽

Docker 拉取提示 UNAUTHORIZED（401）怎么办？

401 认证失败

遇到 429 Too Many Requests（请求太频繁）怎么办？

429 限流

docker login 提示 Cannot autolaunch D-Bus，还算登录成功吗？

D-Bus 凭证提示

为什么会出现「单层超过 20GB」或 413，无法加速拉取？

413 与超大单层

账号 / 计费 / 权限

轩辕镜像免费版和专业版有什么区别？

免费版与专业版区别

轩辕镜像支持哪些 Docker 镜像仓库？

支持的镜像仓库

镜像拉取失败还会不会扣流量？

失败是否计费

麒麟 V10 / 统信 UOS 提示 KYSEC 权限不够怎么办？

KYSEC 拦截脚本

如何在轩辕镜像申请开具发票？

申请开票

怎么修改轩辕镜像的网站登录和仓库登录密码？

修改登录密码

如何注销轩辕镜像账户？要注意什么？

注销账户

配置与原理类

写了 registry-mirrors，为什么还是走官方或仍然报错？

mirrors 不生效

怎么用 docker tag 去掉镜像名里的轩辕域名前缀？

去掉域名前缀

如何拉取指定 CPU 架构的镜像（如 ARM64、AMD64）？

指定架构拉取

用轩辕镜像拉镜像时快时慢，常见原因有哪些？

拉取速度原因

查看全部问题→

用户好评

来自真实用户的反馈，见证轩辕镜像的优质服务

oldzhang

运维工程师

Linux服务器

"Docker访问体验非常流畅，大镜像也能快速完成下载。"