以學務系統的帳號密碼，實作LDAP整合校內網路服務.pptVIP

以學務系統的帳號密碼，實作LDAP整合校內網路服務 台中市立外埔國中資訊組長 郭特全 whitehairpig@.tw (04#231 (辦公室) #236 (機房) 2013.03.27 會前預習功課 What is LDAP ? dc cn ou ldif objectclass OpenLDAP phpldapadmin LDAP server 運行環境 CentOS 6 OpenLDAP (LDAP server #yum…. ) httpd php (for phpldapadmin #yum) phpldapadmin (tool download,copy) php-ldap (important! #yum…) adodb5 (connect to sfs’s mysql DB download,copy /var/www/html/adodb5 ) 先不急著執行我分享的php程式 用phpldapadmin先處理資料架構 網路上縱有片段程式，卻從沒提醒此點，最易卡關處。 概念類似資料庫，先建資料庫，再建資料表，再定欄位名稱，才能餵數據，否則雞同鴨講當然出錯。 哪些屬性 not null ? 哪些屬性自己想加? 假設已能成功進入phpldapadmin 程式重點講解:自動(加入排程)新增教職員LDAP帳號(autoaddldap.php) 搜尋學務系統在職帳號是否已在LDAP server中 若LDAP server找不到，新增此學務系統帳號到LDAP server include /var/www/html/adodb5/adodb.inc.php; $recordSet = $conn-Execute(select * from teacher_base where teach_condition=0); $ds=ldap_connect(:389); ldap_bind($ds,cn=xxxxx,dc=xxxx,dc=xxxx,xxxxxxxx); $info[objectclass][0] = top; $info[objectclass][1] = posixAccount; $info[objectclass][2] = inetOrgPerson; $info[loginshell] = /bin/sh; $info[gidnumber] = 500; $info[userpassword] = “wpjh; 自動(加入排程)刪除教職員LDAP帳號(autodelldap.php) 逐一搜尋LDAP 中每一筆帳號，比對學務系統中的在職教職員帳號，若學務系統已不存在此帳號，則將LDAP 中相同帳號也刪除。 教職員為何需啟用LDAP帳號?(startldapform.php) crontab 加入 autoaddldap.php 和autodelldap.php 是有達到帳號同步，但密碼卻是統一的預設值! md5演算法不可逆，透過啟用取得密碼原文 程式邏輯原理:使用者輸入帳密，密碼經與學務系統相同處理後，若與mysql內容相同，判定使用者為真合法使用者，並成功得到密碼原文，將LDAP的userpassword 作update。 啟用LDAP單一帳號頁面 (目的:得 password 明文) 心得: 只要LDAP相關設定就緒就可上線，當同仁無法登入相關服務時，就會迫使同仁去啟用，大概兩三天就可全部完成。 使用者自行變更LDAP密碼功能(chpassword.php validate2.php) 注意事項:務必暫時停用學務系統原本的密碼變更模組。 why? 程式邏輯原理:透過表單userid和old_pw驗證使用者身分，若驗證通過，以新密碼同時update學務系統和LDAP server。 管理學生LDAP帳號(managestuldap.php addstuldap.php delstuldap.php ) 為簡化操作程序,增減帳號對象都是某一年度入學全體學生 只取SFS的stud_base中stud_id(學號-帳號), stud_birthday(生日-密碼), stud_study_year (入學年度)欄位。 入學年度紀錄在LDAP中 description 我校為例，網頁操作建立2百多位學生LDAP帳號只要3秒鐘，刪除更快。 本校已整合進LDAP的項目:Joomla校網-1分鐘設定即連結LDAPserver Fortigate-110C使用者認證 功用:1.避免學生網站不當內容，衍生法律責任。2.教職