开源版禅道集成LDAP实现统一身份认证
2021-10-12 本文已影响0人
天草二十六_简村人
一、版本说明
1、禅道版本为开源版,版本号为最新的15.2
docker安装请参考:https://hub.docker.com/r/idoop/zentao
docker pull idoop/zentao
docker run -d -p 8084:80 -p 3346:3306 -e USER="admin" -e PASSWD="123456" -e BIND_ADDRESS="false" -e SMTP_HOST="163.177.90.125 smtp.exmail.qq.com" -v /data/zbox/:/opt/zbox/ --name zentao-server idoop/zentao
- 访问地址是:http://localhost:8084
- 用户名和密码是admin/123456
由于密码过于简单,禅道会引导你去修改密码。
2、LDAP插件,版本: 1.2 作者: TigerLau
二、下载并安装LDAP插件
管理员账号admin,进入后台--》插件--》本地安装
step1.png
我这里是安装好了,过程中按提示操作,可能会让你在服务器上新建或删除文件,保证你是管理员。
step2.png插件不要安装错了!!github上也有一个插件,不建议。亲自试过不行。为防止你少走弯路,我贴出它的地址https://github.com/iboxpay/ldap.
安装成功后的,提示也很给力,直接引导你下一步去设置LDAP.
1.插件安装后,在后台页面会多出一个"LDAP"子页面,可在该页面配置LDAP服务器信息
2.在LDAP配置页面可以测试是否能够正常连接LDAP服务器 (这一步我是失败的,建议你忽略!!)
3.保存配置后,点击“手动同步”按钮,从LDAP服务器上同步用户信息
4.同步用户信息以后,可以使用LDAP用户登录禅道
5.本地用户,通过在账户名称前加“$”符号来登录禅道
三、登录说明
- admin用户的登录用户名必须前加美元符,admin-->$admin,密码还是原先的密码。
- LDAP用户一般使用手机号或邮箱作为账号登录。
四、LDAP的设置
LDAP设置.png人员列表.png这里有个坑,“测试连接”,一直是报错说:“Can't contact LDAP server ”, 而我确保LDAP服务是正常的,且密码也输入正确。忽略不管该提示,直接保存并手动同步用户。
一般地,你需要对人员设置权限。
image.png image.png
admin管理员登录
admin管理员登录.png
LDAP用户登录
LDAP用户登录.png
五、修改Php源码
如果你想现在就能够LDAP登录成功,恐怕要让你失望了。还需要继续跟着修改以下几处代码。
- 修改/opt/zbox/app/zentao/module/user/ext/model/identify.php 文件
# $account = $this->config->ldap->uid.'='.$account.','.$this->config->ldap->baseDN;
# $pass = $ldap->identify($this->config->ldap->host, $account, $password);
#getUserDn的定义见下module/ldap/model.php
$dn = $ldap->getUserDn($this->config->ldap, $account);
$pass = $ldap->identify($this->config->ldap->host, $dn, $password);
完整的文件内容是:
<?php
public function identify($account, $password)
{
if (0 == strcmp('$',substr($account, 0, 1))) {
return parent::identify(ltrim($account, '$'), $password);
} else {
$user = false;
$record = $this->dao->select('*')->from(TABLE_USER)
->where('account')->eq($account)
->andWhere('deleted')->eq(0)
->fetch();
if ($record) {
$ldap = $this->loadModel('ldap');
# $account = $this->config->ldap->uid.'='.$account.','.$this->config->ldap->baseDN;
$dn = $ldap->getUserDn($this->config->ldap, $account);
# $pass = $ldap->identify($this->config->ldap->host, $account, $password);
$pass = $ldap->identify($this->config->ldap->host, $dn, $password);
if (0 == strcmp('Success', $pass)) {
$user = $record;
$ip = $this->server->remote_addr;
$last = $this->server->request_time;
$this->dao->update(TABLE_USER)->set('visits = visits + 1')->set('ip')->eq($ip)->set('last')->eq($last)->where('account')->eq($account)->exec();
$user->last = date(DT_DATETIME1, $user->last);
}
}
return $user;
}
}
- 修改/opt/zbox/app/zentao/module/ldap/model.php 文件
增加函数
public function getUserDn($config, $account) {
$ret = null;
$ds = ldap_connect($config->host);
if ($ds) {
ldap_set_option($ds,LDAP_OPT_PROTOCOL_VERSION,3);
ldap_bind($ds, $config->bindDN, $config->bindPWD);
$filter = "(cn=$account)";
$rlt = ldap_search($ds, $config->baseDN, $filter);
$count=ldap_count_entries($ds, $rlt);
if($count > 0) {
$data = ldap_get_entries($ds, $rlt);
$ret = $data[0]['dn'];
$str = serialize($data);
}
ldap_unbind($ds);
ldap_close($ds);
}
return $ret;
}
完整的文件内容是:
<?php
/**
* The model file of ldap module of ZenTaoPMS.
*
* @license ZPL (http://zpl.pub/page/zplv11.html)
* @author TigerLau
* @package ldap
* @link http://www.zentao.net
*/
?>
<?php
class ldapModel extends model
{
public function identify($host, $dn, $pwd)
{
$ret = '';
$ds = ldap_connect($host);
if ($ds) {
ldap_set_option($ds,LDAP_OPT_PROTOCOL_VERSION,3);
ldap_bind($ds, $dn, $pwd);
$ret = ldap_error($ds);
ldap_close($ds);
} else {
$ret = ldap_error($ds);
}
return $ret;
}
public function getUsers($config)
{
$ds = ldap_connect($config->host);
if ($ds) {
ldap_set_option($ds,LDAP_OPT_PROTOCOL_VERSION,3);
ldap_bind($ds, $config->bindDN, $config->bindPWD);
$attrs = [$config->uid, $config->mail, $config->name];
$rlt = ldap_search($ds, $config->baseDN, $config->searchFilter, $attrs);
$data = ldap_get_entries($ds, $rlt);
return $data;
}
return null;
}
public function sync2db($config)
{
$ldapUsers = $this->getUsers($config);
$user = new stdclass();
$account = '';
$i=0;
for (; $i < $ldapUsers['count']; $i++) {
$user->account = $ldapUsers[$i][$config->uid][0];
$user->email = $ldapUsers[$i][$config->mail][0];
$user->realname = $ldapUsers[$i][$config->name][0];
$account = $this->dao->select('*')->from(TABLE_USER)->where('account')->eq($user->account)->fetch('account');
if ($account == $user->account) {
$this->dao->update(TABLE_USER)->data($user)->where('account')->eq($user->account)->autoCheck()->exec();
} else {
$this->dao->insert(TABLE_USER)->data($user)->autoCheck()->exec();
}
if(dao::isError())
{
echo js::error(dao::getError());
die(js::reload('parent'));
}
}
return $i;
}
public function getUserDn($config, $account){
$ret = null;
$ds = ldap_connect($config->host);
if ($ds) {
ldap_set_option($ds,LDAP_OPT_PROTOCOL_VERSION,3);
ldap_bind($ds, $config->bindDN, $config->bindPWD);
$filter = "(uid=$account)";
$rlt = ldap_search($ds, $config->baseDN, $filter);
$count=ldap_count_entries($ds, $rlt);
if($count > 0){
$data = ldap_get_entries($ds, $rlt);
$ret = $data[0]['dn'];
$str = serialize($data);
}
ldap_unbind($ds);
ldap_close($ds);
}
return $ret;
}
}
- 修改 /opt/zbox/app/zentao/config/my.php 文件
增加
$config->notMd5Pwd = true;
以关闭md5加密,否则认证不能通过
修改后的文件全文是:
<?php^M
$config->installed = true;^M
$config->debug = false;^M
$config->requestType = 'PATH_INFO';^M
$config->db->host = '127.0.0.1';^M
$config->db->port = '3306';^M
$config->db->user = 'root';^M
$config->db->prefix = 'zt_';^M
$config->webRoot = getWebRoot();^M
$config->db->name = 'zentao';
$config->db->password = '123456';
$config->default->lang = 'zh-cn';
#新增
$config->notMd5Pwd = true;
六、修改用户名
公司原先创建的账号是拼音字母的格式,后面采用LDAP,需要统一为手机号格式。所以老用户会有两个用户,在不影响之前账户的使用情况下(主要是需要保留数据),我们采用修改旧账号的登录名为手机号。
但是禅道不允许登录名重复,所以我们需要先把新账户的登录名为一个不存在的值,再删除它。否则按姓名检索,会出现两个账号。
第二步,修改旧账号的登录名为手机号。
根据姓名检索出两个用户.png image.png
执行删除,因为禅道是逻辑删除,实际上该用户名是已经不能重复了。
image.png
最后就剩下一个老用户。
image.png