gluufederation/opendj
gluufederation
Gluu Federation提供的OpenDJ Docker镜像,用于部署和运行OpenDJ LDAP服务器,支持配置与密钥管理、自动复制等功能,适用于身份管理和目录服务场景。
4 次收藏下载次数: 0状态:社区镜像维护者:gluufederation仓库类型:镜像最近更新:23 天前
让 AI 帮你使用轩辕镜像? · 展开查看说明 · 点击收起说明
如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具,协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题,请先让 AI 阅读并遵守轩辕镜像的规则文档。
只需在 AI 对话中先发送下面这句话即可:
请先完整阅读并严格遵守以下文档中的全部规则与要求:
https://xuanyuan.cloud/agents.md
在未充分阅读并理解该文档前,不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。查看 agents.md 用法指南与完整示范。国内用户首推 元宝 AI、DeepSeek 的深度思考模式,不推荐豆包 AI;Cursor 等编辑器可在对话 @ 该链接,或加入 User Rules。 若 AI 无法访问外链,可 打开说明文档 复制全文粘贴。文档会随站点更新,复制内容可能过期,建议定期检查。
镜像概述与主要用途
该Docker镜像由Gluu Federation提供,是OpenDJ的Docker打包版本,用于便捷部署和运行OpenDJ LDAP服务器。OpenDJ是一款功能强大的目录服务器,广泛应用于身份管理、用户数据存储和目录服务场景。本镜像支持多种配置和密钥管理适配器、自动LDAP复制等特性,简化了OpenDJ在容器化环境中的部署与运维。
版本信息
- 稳定版本:请参考https://github.com/GluuFederation/docker-opendj/releases%E9%A1%B5%E9%9D%A2%E8%8E%B7%E5%8F%96%E7%A8%B3%E5%AE%9A%E7%89%88%E6%9C%AC%E3%80%82
- 开发/不稳定版本:使用标签
gluufederation/opendj:5.0.0_dev。
环境变量
容器支持以下环境变量,用于配置服务行为:
配置管理相关
CN_CONFIG_ADAPTER:配置后端适配器,可选值为consul(默认)、kubernetes或google。CN_CONFIG_CONSUL_HOST:Consul的主机名或IP(默认值:localhost)。CN_CONFIG_CONSUL_PORT:Consul的端口(默认值:8500)。CN_CONFIG_CONSUL_CONSISTENCY:Consul一致性模式,可选default、consistent或stale(默认值:stale)。CN_CONFIG_CONSUL_SCHEME:Consul支持的协议(http或https)。CN_CONFIG_CONSUL_VERIFY:是否验证证书(默认值:false)。CN_CONFIG_CONSUL_CACERT_FILE:Consul CA证书文件路径(默认值:/etc/certs/consul_ca.crt)。当CN_CONFIG_CONSUL_VERIFY设为true且文件存在时使用。CN_CONFIG_CONSUL_CERT_FILE:Consul证书文件路径(默认值:/etc/certs/consul_client.crt)。CN_CONFIG_CONSUL_KEY_FILE:Consul密钥文件路径(默认值:/etc/certs/consul_client.key)。CN_CONFIG_CONSUL_TOKEN_FILE:包含ACL令牌的文件路径(默认值:/etc/certs/consul_token)。CN_CONFIG_KUBERNETES_NAMESPACE:Kubernetes命名空间(默认值:default)。CN_CONFIG_KUBERNETES_CONFIGMAP:Kubernetes配置映射名称(默认值:jans)。CN_CONFIG_KUBERNETES_USE_KUBE_CONFIG:是否从$HOME/.kube/config加载凭据(仅非容器环境有用,默认值:false)。GOOGLE_PROJECT_ID:Google项目ID(默认值:空字符串)。当CN_CONFIG_ADAPTER或CN_SECRET_ADAPTER设为google时使用。GOOGLE_APPLICATION_CREDENTIALS:包含Google凭据的JSON文件路径(可选)。参考Google云认证文档获取支持的凭据类型。
密钥管理相关
CN_SECRET_ADAPTER:密钥适配器,可选值为vault(默认)、kubernetes或google。CN_SECRET_VAULT_VERIFY:是否验证Vault证书(默认值:false)。CN_SECRET_VAULT_ROLE_ID_FILE:包含Vault AppRole角色ID的文件路径(默认值:/etc/certs/vault_role_id)。CN_SECRET_VAULT_SECRET_ID_FILE:包含Vault AppRole密钥ID的文件路径(默认值:/etc/certs/vault_secret_id)。CN_SECRET_VAULT_CERT_FILE:Vault证书文件路径(默认值:/etc/certs/vault_client.crt)。CN_SECRET_VAULT_KEY_FILE:Vault密钥文件路径(默认值:/etc/certs/vault_client.key)。CN_SECRET_VAULT_CACERT_FILE:Vault CA证书文件路径(默认值:/etc/certs/vault_ca.crt)。当CN_SECRET_VAULT_VERIFY设为true且文件存在时使用。CN_SECRET_VAULT_ADDR:Vault的URL(默认值:http://localhost:8200)。CN_SECRET_VAULT_NAMESPACE:访问密钥时使用的命名空间(默认值:空字符串)。CN_SECRET_VAULT_KV_PATH:KV密钥引擎的路径(默认值:secret)。CN_SECRET_VAULT_PREFIX:构建密钥路径的基础前缀(默认值:jans)。CN_SECRET_VAULT_APPROLE_PATH:AppRole的路径(默认值:approle)。CN_SECRET_KUBERNETES_NAMESPACE:Kubernetes命名空间(默认值:default)。CN_SECRET_KUBERNETES_CONFIGMAP:Kubernetes密钥名称(默认值:jans)。CN_SECRET_KUBERNETES_USE_KUBE_CONFIG:是否从$HOME/.kube/config加载凭据(仅非容器环境有用,默认值:false)。CN_GOOGLE_SECRET_VERSION_ID:Google Secret Manager中Janssen密钥的版本ID(默认值:latest,推荐使用)。CN_GOOGLE_SECRET_MANAGER_PASSPHRASE:Google Secret Manager中Janssen密钥的密码(推荐修改,默认值:secret)。CN_GOOGLE_SECRET_NAME_PREFIX:Google Secret Manager中Janssen密钥的前缀(默认值:jans,若保留则创建jans-secret密钥)。
服务配置相关
CN_WAIT_MAX_TIME:启动时“健康检查”的最长运行时间(默认值:300秒)。CN_WAIT_SLEEP_DURATION:启动“健康检查”之间的延迟时间(默认值:10秒)。CN_CERT_ALT_NAME:证书中作为Subject Alt Name的额外DNS名称。若值非空且与现有证书中的Subject Alt Name不匹配(或不存在),则会重新生成新证书并覆盖配置后端中保存的证书。仅当部署oxShibboleth时需要,用于解决连接OpenDJ时CN与目标主机名不匹配的问题。注意:任何连接到OpenDJ的现有容器都必须重新部署以下载新证书。CN_MAX_RAM_PERCENTAGE:传递给Java选项-XX:MaxRAMPercentage的值。CN_JAVA_OPTIONS:传递给入口点的Java选项,如-Xmx1024m(默认值:空字符串)。
LDAP复制相关
CN_LDAP_AUTO_REPLICATE:是否自动启用复制(默认值:true)。CN_LDAP_REPL_CHECK_INTERVAL:复制检查的间隔时间(秒,默认值:10)。CN_LDAP_REPL_MAX_RETRIES:自动复制初始化的最大重试次数(默认值:10)。达到最大重试次数后,无论复制状态如何,进程都会停止(可能需要手动运行进程)。CN_LDAP_REPL_SOURCE:作为复制源的地址(例如:ldap,默认值:空字符串)。CN_LDAP_REPL_DISABLE_ON_EXIT:退出时是否自动禁用复制(默认值:true)。CN_LDAP_USE_SSL:是否使用SSL连接到LDAP服务器(默认值:true)。
部署要求
全新部署
-
生成包含
cn=Directory Manager密码的ldap_password密钥,例如:Test1234#。 -
生成包含信任库密码的
ldap_truststore_password密钥,例如:shtr -dc 'a-zA-Z0-9' < /dev/urandom | fold -w 12 | head -n 1 -
创建
opendj.crt和opendj.key文件,例如:shopenssl req \ -x509 \ -newkey rsa:2048 \ -sha256 \ -days 365 \ -nodes \ -keyout opendj.key \ -out opendj.crt \ -subj '/CN=demoexample.jans.io' \ -addext 'subjectAltName=DNS:ldap,DNS:opendj'注意:需添加额外的
DNS:<opendj-service-name>以匹配OpenDJ的Kubernetes服务名称。使用以下命令准备
ldap_ssl_cert密钥:shcat opendj.crt | base64 -w0使用以下命令准备
ldap_ssl_key密钥:shcat opendj.key | base64 -w0 -
将上述密钥放入
configuration.json(部分键省略):json{ "_secret": { "ldap_password": "<ldap_password>", "ldap_truststore_pass": "<ldap_truststore_password>", "ldap_ssl_cert": "<ldap_ssl_cert>", "ldap_ssl_key": "<ldap_ssl_key>" }, "_configmap": { "optional_scopes": "[\"couchbase\", \"ldap\", \"redis\", \"sql\"]", "admin_email": "support@demoexample.jans.io", "hostname": "demoexample.jans.io", "city": "Austin", "country_code": "US", "orgName": "Gluu", "state": "TX" } }若使用charts的
values.yaml,按以下示例放置相关密钥:yamlconfig: ldapPassword: "<ldap_password>" ldapTruststorePassword: "<ldap_truststore_password>" configmap: cnLdapCrt: "<ldap_ssl_cert>" cnLdapKey: "<ldap_ssl_key>"
从现有设置迁移
-
在主机创建
opendj_configuration_export.py:pyimport os from jans.pycloudlib import get_manager manager = get_manager() # 拉取密钥供后续使用 manager.secret.to_file("ldap_ssl_cert", "/tmp/opendj.crt", decode=True) manager.secret.to_file("ldap_ssl_key", "/tmp/opendj.key", decode=True) manager.secret.to_file("ldap_truststore_pass", "/tmp/ldap_truststore_password") manager.secret.to_file("encoded_ox_ldap_pw", "/tmp/ldap_password", decode=True) # 转换并推送密钥 manager.secret.from_file("ldap_ssl_cert", "/tmp/opendj.crt") manager.secret.from_file("ldap_ssl_key", "/tmp/opendj.key") manager.secret.from_file("ldap_password", "/tmp/ldap_password") -
将脚本复制到现有Pod并运行,例如:
shkubectl -n jans cp opendj_configuration_export.py jans-auth-xzddfi:/tmp/opendj_configuration_export.py # 此脚本将创建所需文件 kubectl -n jans exec jans-auth-xzddfi -- python3 /tmp/opendj_configuration_export.py -
下载脚本生成的文件,例如:
shkubectl -n jans cp jans-auth-xzddfi:/tmp/ldap_password ldap_password kubectl -n jans cp jans-auth-xzddfi:/tmp/ldap_truststore_password ldap_truststore_password kubectl -n jans cp jans-auth-xzddfi:/tmp/opendj.crt opendj.crt kubectl -n jans cp jans-auth-xzddfi:/tmp/opendj.key opendj.key -
使用以下命令准备
ldap_ssl_cert密钥:shcat opendj.crt | base64 -w0使用以下命令准备
ldap_ssl_key密钥:shcat opendj.key | base64 -w0 -
将上述密钥放入
configuration.json(部分键省略):json{ "_secret": { "ldap_password": "<ldap_password>", "ldap_truststore_pass": "<ldap_truststore_password>", "ldap_ssl_cert": "<ldap_ssl_cert>", "ldap_ssl_key": "<ldap_ssl_key>" }, "_configmap": { "optional_scopes": "[\"couchbase\", \"ldap\", \"redis\", \"sql\"]", "admin_email": "support@demoexample.jans.io", "hostname": "demoexample.jans.io", "city": "Austin", "country_code": "US", "orgName": "Gluu", "state": "TX" } }若使用charts的
values.yaml,按以下示例放置相关密钥:yamlconfig: ldapPassword: "<ldap_password>" ldapTruststorePassword: "<ldap_truststore_password>" configmap: cnLdapCrt: "<ldap_ssl_cert>" cnLdapKey: "<ldap_ssl_key>"
部署策略
- 部署单个OpenDJ实例
- 扩展OpenDJ实例,默认会自动进行复制(另见LDAP复制)
- 移除任何OpenDJ实例前,在容器内运行
python3 /app/scripts/deregister_peer.py(在Kubernetes中,可使用preStop钩子替代)
LDAP复制
当容器运行时,满足以下条件会自动触发复制过程:
- 集群中运行多个LDAP容器
o=jans、o=site、o=metric后端尚未复制且无条目
查看LDAP容器日志可了解结果,也可在容器内运行/opt/opendj/bin/dsreplication status检查复制状态。
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
轩辕镜像加速拉取命令点我查看更多 opendj 镜像标签
docker pull docker.xuanyuan.run/gluufederation/opendj:<标签>
DockerHub 原生拉取命令
docker pull gluufederation/opendj:<标签>
镜像拉取常见问题
功能
错误码
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"