Python使用LDAP做用户认证

LDAP(Light Directory Access Portocol)是轻量目录访问协议,基于X.500标准,支持TCP/IP。

LDAP目录以树状的层次结构来存储数据。每个目录记录都有标识名(Distinguished Name,简称DN),用来读取单个记录,一般是这样的:

cn=username,ou=people,dc=test,dc=com

几个关键字的含义如下:

 base dn:LDAP目录树的最顶部,也就是树的根,是上面的dc=test,dc=com部分,一般使用公司的域名,也可以写做o=test.com,前者更灵活一些。

dc::Domain Component,域名部分。

ou:Organization Unit,组织单位,用于将数据区分开。

cn:Common Name,一般使用用户名。

uid:用户id,与cn的作用类似。

sn:Surname, 姓。

rdn:Relative dn,dn中与目录树的结构无关的部分,通常存在cn或者uid这个属性里。

所以上面的dn代表一条记录,代表一位在test.com公司people部门的用户username。

Python-ldap

python一般使用python-ldap库操作ldap,文档:https://www.python-ldap.org/en/latest/index.html

下载:

pip install python-ldap

还要安装一些环境,Ubuntu

apt-get install build-essential python3-dev python2.7-dev \

    libldap2-dev libsasl2-dev slapd ldap-utils python-tox \

    lcov valgrind

CentOS

yum groupinstall "Development tools"

yum install openldap-devel python-devel

获取LDAP地址后即可与LDAP建立连接:

import ldap

ldapconn = ldap.initialize('ldap://192.168.1.111:389')

绑定用户,可用于用户验证,用户名必须是dn:

ldapconn.simple_bind_s('cn=username,ou=people,dc=test,dc=com', pwd)

成功认证时会返回一个tuple:

(97, [], 1, [])

验证失败会报异常ldap.INVALID_CREDENTIALS:

{'desc': u'Invalid credentials'}

注意验证时传空值验证也是可以通过的,注意要对dn和pwd进行检查。

查询LDAP用户信息时,需要登录管理员RootDN帐号:

ldapconn.simple_bind_s('cn=admin,dc=test,dc=com', 'adminpwd')

searchScope = ldap.SCOPE_SUBTREE

searchFilter = 'cn=username'

base_dn = 'ou=people,dc=test,dc=com'

print ldapconn.search_s(base_dn, searchScope, searchFilter, None)

  添加用户add_s(dn, modlist),dn为要添加的条目dn,modlist为存储信息:

dn = 'cn=test,ou=people,dc=test,dc=com'

modlist = [

    ('objectclass', ['person', 'organizationalperson'],

    ('cn', ['test']),

    ('uid', [''testuid]),

    ('userpassword', ['pwd']),

]

result = ldapconn.add_s(dn, modlist)

  添加成功会返回元组:

(105, [], 2, [])

  失败会报ldap.LDAPError异常

Django使用LDAP验证

一个很简单的LDAP验证Backend:

import ldap

class LDAPBackend(object):

    """

    Authenticates with ldap.

    """

    _connection = None

    _connection_bound = False

    def authenticate(self, username=None, passwd=None, **kwargs):

        if not username or not passwd:

            return None

        if self._authenticate_user_dn(username, passwd):

            user = self._get_or_create_user(username, passwd)

            return user

        else:

            return None

    @property

    def connection(self):

        if not self._connection_bound:

            self._bind()

        return self._get_connection()

    def _bind(self):

        self._bind_as(

            LDAP_CONFIG['USERNAME'], LDAP_CONFIG['PASSWORD'], True

        )

    def _bind_as(self, bind_dn, bind_password, sticky=False):

        self._get_connection().simple_bind_s(

            bind_dn, bind_password

        )

        self._connection_bound = sticky

    def _get_connection(self):

        if not self._connection:

            self._connection = ldap.initialize(LDAP_CONFIG['HOST'])

        return self._connection

    def _authenticate_user_dn(self, username, passwd):

        bind_dn = 'cn=%s,%s' % (username, LDAP_CONFIG['BASE_DN'])

        try:

            self._bind_as(bind_dn, passwd, False)

            return True

        except ldap.INVALID_CREDENTIALS:

            return False

    def _get_or_create_user(self, username, passwd):

        # 获取或者新建User

        return user

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/2a74bc6dbbc2181ebe7b269f850a01d4.html