LDAP轻量级Web界面编辑器

这是一个轻量级的LDAP目录Web界面工具。提供适用于linux/amd64和linux/arm64/v8架构的Docker镜像，可从Docker Hub获取。

!截图

核心功能和特性

• 目录树视图展示
• 条目创建/修改/删除
• LDIF格式导入/导出
• 支持jpegPhoto和thumbnailPhoto属性的图片显示
• 架构感知能力
• 可配置的简单搜索功能
• 异步LDAP后端，具备良好的可扩展性
• 提供Docker镜像

该应用始终要求身份验证，即使目录允许***访问。用户凭据通过目录上的简单bind操作验证（不支持SASL）。特定用户可查看（和编辑）的内容完全由目录访问规则控制，应用严格按目录内容展示，不多不少。

适用场景

适用于需要通过Web界面管理LDAP目录的场景，如企业内部用户与组信息维护、应用系统LDAP数据管理等。兼容OpenLDAP（主要测试环境），部分支持389 DS，不支持SASL认证方式。

使用方法和配置说明

环境变量

LDAP访问通过以下可选环境变量控制（可从.env文件加载）：

• LDAP_URL：连接URL，默认值为ldap:///。

• BASE_DN：搜索基准，例如dc=example,dc=org。

• SCHEMA_DN：获取目录架构的DN，例如cn=subSchema。

• LOGIN_ATTR：用户名属性，默认值为uid。

• USE_TLS：启用TLS，对于ldaps连接默认启用。设为非空字符串可强制ldap连接使用STARTTLS。

• INSECURE_TLS：不验证服务器TLS证书有效性，默认值为false，启用时隐含USE_TLS。

若未显式提供BASE_DN或SCHEMA_DN，将尝试从根DSE自动检测。为此，根DSE必须允许***读取，例如OpenLDAP可添加如下ACL规则：

text
access to dn.base="" by * read

更细粒度的配置参见settings.py。

Docker部署

快速启动

shell
docker run -p 127.0.0.1:5000:5000 \
    -e LDAP_URL=ldap://your.openldap.server/ \
    dnknth/ldap-ui:latest

演示环境

shell
docker compose up -d

访问http://localhost:5000/，将自动以Fred Flintstone用户登录。

Pip安装（可选）

需先通过系统包管理器安装python-ldap依赖，否则Pip会尝试源码编译，可能因缺少开发环境失败。

在虚拟环境中安装：

shell
python3 -m venv --system-site-packages venv
. venv/bin/activate
pip3 install ldap-ui

安装后通过ldap-ui命令启动，支持的参数：

text
Usage: ldap-ui [OPTIONS]

Options:
  -b, --base-dn TEXT              LDAP基准DN，未设置环境变量BASE_DN时必填。
  -h, --host TEXT                 绑定主机地址  [默认: 127.0.0.1]
  -p, --port INTEGER              绑定端口，设为0则自动选择可用端口  [默认: 5000]
  -l, --log-level [critical|error|warning|info|debug|trace]
                                  日志级别  [默认: info]
  --version                       显示版本信息并退出
  --help                          显示帮助信息

开发说明

依赖环境

• GNU make
• node.js LTS版本（含NPM）
• Python3 ≥ 3.7
• pip3
• python-ldap编译依赖：
  • Debian/Ubuntu：apt-get install libsasl2-dev python-dev libldap2-dev libssl-dev
  • RedHat/CentOS：yum install python-devel openldap-devel

本地运行

项目由Vue前端和Python后端（提供LDAP协议转无状态ReST API）组成。前端通过npm run build编译至backend/ldap_ui/statics目录。配置项见settings.py，可通过环境变量或.env文件覆盖。执行make命令可本地启动后端，自动安装依赖并构建前端（如需）。

注意事项

认证方式

UI始终通过简单bind操作认证，绑定DN的获取方式取决于环境变量配置：

1. 属性搜索：默认通过uid属性搜索（可通过LOGIN_ATTR环境变量修改，如LOGIN_ATTR=cn）。
2. 绑定模式：设置BIND_PATTERN环境变量时跳过搜索。例如BIND_PATTERN=%s允许使用完整DN登录；BIND_PATTERN=%s,dc=example,dc=org可简化为cn=admin登录；BIND_PATTERN=cn=%s,dc=example,dc=org直接使用admin登录。
3. 固定凭据（仅演示用）：设置BIND_DN和BIND_PASSWORD环境变量使用固定凭据，安全性低，不建议生产环境使用。

搜索功能

• 若查询不含=，默认搜索cn、gn、sn、uid属性（可配置）。
• 支持通配符，例如f*匹配所有以f开头的上述属性值。
• 可通过LDAP过滤器指定属性搜索，例如sn=F*。

已知限制

• 主要测试环境为OpenLdap（简单绑定），389 DS部分支持，其他目录服务未充分测试。
• 不支持SASL认证。
• 密码以明文传输，依赖LDAP服务器进行哈希处理（如OpenLdap 2.4），建议通过TLS-enabled Web服务器暴露应用。
• 若上游HTTP服务器未设置AUTHORIZATION请求头，将触发HTTP Basic Authentication。

常见问题

Q：为何部分字段不可编辑？

A：条目的RDN（相对分辨名）为只读，需通过重命名条目修改；密码字段需点击右侧问号图标修改；架构中定义的二进制字段为只读，防止误操作。

Q：开发此工具的原因？

A：PHPLdapAdmin长期未更新，作者需要替代工具并希望尝试Vue框架。

致谢

后端基于FastAPI构建，前端使用Vue.js和Tailwind CSS，感谢这些框架的开发者。