lldap - 轻量级LDAP认证实现

镜像概述和主要用途

lldap是一款轻量级认证服务器，提供简化的LDAP接口用于用户认证与管理。它并非完整的LDAP服务器，而是专注于简化用户管理的系统，旨在为自托管服务（如Nextcloud、Authelia等）提供易于配置的外部认证源。通过友好的Web界面实现用户管理，并支持用户自助修改信息或通过邮件重置密码，同时兼容多种后端数据库（SQLite/MySQL/PostgreSQL）。

核心功能和特性

• 简化部署：无需复杂的slapd配置，开箱即用的基础设置
• 直观管理：友好的Web界面，支持用户、组及权限的可视化管理
• 低资源占用：轻量级设计，适合资源有限的自托管环境
• 用户自助服务：支持用户修改个人信息、通过邮件重置密码
• 多数据库支持：默认使用SQLite，可切换至MySQL/MariaDB或PostgreSQL
• 灵活集成：与KeyCloak、Authelia、Nextcloud等多种服务兼容
• 安全设计：基于Rust开发，禁用不安全代码，支持权限细粒度控制
• 扩展能力：提供GraphQL API、CLI工具及Terraform Provider支持自动化管理

使用场景和适用范围

主要面向自托管服务器环境，适用于需要LDAP认证的开源组件集成，如：

• 文档协作工具（Nextcloud）
• 媒体服务器（Airsonic）
• 认证代理（Authelia、Authentik）
• 开发工具（Gitea、Jenkins）
• 网络存储（Samba，实验性支持）

特别适合希望避免复杂LDAP配置，但需要为多个服务提供统一用户认证的个人或小型团队。

详细使用方法和配置说明

安装方式

Docker/Podman部署

基本运行命令：

bash
docker run -d \
  --name lldap \
  -p ***:*** \  # Web UI端口
  -p 389:389 \      # LDAP服务端口（非加密）
  -v ./lldap_data:/data \  # 数据持久化
  -e LLDAP_BASE_DN=dc=example,dc=com \  # 基础DN
  -e LLDAP_ADMIN_PASSWORD=your_secure_password \  # 管理员密码
  -e LLDAP_USER_UID=1000 \  # 运行用户UID
  -e LLDAP_USER_GID=1000 \  # 运行用户GID
  lldap/lldap:latest

Docker Compose配置示例：

yaml
version: '3'
services:
  lldap:
    image: lldap/lldap:latest
    container_name: lldap
    ports:
      - "***:***"  # Web管理界面
      - "389:389"      # LDAP协议端口
    volumes:
      - ./lldap_data:/data  # 数据存储目录
    environment:
      - LLDAP_BASE_DN=dc=example,dc=com  # 组织基础DN
      - LLDAP_ADMIN_PASSWORD=secure_password  # 管理员登录密码
      - LLDAP_USER_UID=1000  # 容器内运行用户UID
      - LLDAP_USER_GID=1000  # 容器内运行用户GID
      - LLDAP_VERBOSE=false  # 是否启用详细日志（调试用）
      - LLDAP_SMTP_HOST=smtp.example.com  # SMTP服务器（用于密码重置）
      - LLDAP_SMTP_PORT=587
      - LLDAP_SMTP_USER=***
      - LLDAP_SMTP_PASSWORD=smtp_password
      - LLDAP_SMTP_FROM=LLDAP <***>
    restart: unless-stopped

注意：生产环境推荐使用*-rootless镜像（如lldap/lldap:latest-rootless），直接以非root用户启动，需提前配置数据目录权限。

其他安装方式

• Kubernetes：提供Helm Chart（参见项目文档）
• 包管理器：支持Archlinux、Debian、CentOS、Fedora等发行版
• 源码编译：支持从源码构建及跨平台编译

基本使用方法

Web界面操作

1. 启动服务后，访问http://<服务器IP>:***打开Web UI
2. 使用管理员账号（默认DN：cn=admin,ou=people,dc=example,dc=com）及配置的LLDAP_ADMIN_PASSWORD登录
3. 通过界面创建用户、组，分配权限，配置自定义属性

用户自助服务

• 普通用户可登录Web UI修改个人信息
• 启用SMTP后，用户可通过"忘记密码"功能接收重置链接

高级管理工具

• CLI工具：使用社区贡献的lldap-cli管理用户/组
• 脚本自动化：通过bootstrap.sh脚本从文件定义用户/组结构
• 基础设施即代码：使用Terraform Provider管理生命周期
• API集成：通过GraphQL API实现自定义自动化（参见脚本指南）

推荐架构

容器化部署推荐架构：

[用户] → [反向代理(Traefik/Nginx)] → [认证服务(Authelia/KeyCloak)] → [LLDAP服务]
                                                                      ↓
                                                            [其他服务(NextCloud等)]

• 网络配置：LLDAP的LDAP端口无需暴露到公网，仅需与其他服务在同一内部网络
• 安全增强：可启用LDAPS加密内部通信（非必需，但推荐生产环境配置）
• 权限控制：为不同服务创建专用LDAP用户（如cn=nextcloud,ou=services,...），分配最小权限

客户端配置

已知兼容服务

多数支持LDAP认证的服务可直接集成，项目提供配置示例的服务包括：

• Authelia
• Nextcloud
• Gitea
• Jenkins
• PAM系统集成（通过nslcd）

完整列表及配置文件参见example_configs目录。

通用配置指南

基础连接参数

• LDAP服务器地址：ldap://<lldap_host>:389（或ldaps://启用加密时）
• 绑定DN：管理员DN（cn=admin,ou=people,<base_dn>）或服务专用用户DN
• 绑定密码：对应DN的密码

用户与组定位

• 用户基准DN：ou=people,<base_dn>（用户条目格式：cn=<username>,ou=people,<base_dn>）
• 组基准DN：ou=groups,<base_dn>（组条目格式：cn=<groupname>,ou=groups,<base_dn>）

常用过滤器示例

• 验证用户存在：(uid=<username>)
• 验证组成员：(&(uid=<username>)(memberOf=cn=<group>,ou=groups,<base_dn>))

权限控制建议

• 服务集成使用lldap_strict_readonly组用户（只读权限）
• 密码管理服务使用lldap_password_manager组用户（密码修改权限）
• 避免直接使用lldap_admin组用户集成服务

不兼容服务

由于设计目标不同，以下场景不支持：

• 需要直接访问密码哈希的服务（与零知识证明密码方案冲突）
• 依赖完整LDAP功能的企业级应用
• 已知不兼容服务：Synology DSM（需要密码哈希访问）

常见问题

• 登录故障排查：参见登录问题指南
• 与其他LDAP方案比较：
  • OpenLDAP：lldap更简单但功能有限，OpenLDAP功能完整但配置复杂
  • FreeIPA/Kanidm：lldap专注轻量认证，不提供目录服务或Kerberos集成
• 数据迁移：支持从SQLite迁移至MySQL/PostgreSQL（参见迁移指南）
• ***支持：可通过Buy Me a Coffee支持开发

贡献

欢迎通过PR或Issue参与贡献。开发规范：

• 代码需通过cargo fmt格式化
• 修改GraphQL接口后需运行./export_schema.sh更新schema
• 社区讨论可加入***服务器

参考链接

• 项目主页：[***]
• 文档中心：[***]
• Docker镜像：[***]