Python使用LDAP做用户认证的方法
LDAP(LightDirectoryAccessPortocol)是轻量目录访问协议,基于X.500标准,支持TCP/IP。
LDAP目录以树状的层次结构来存储数据。每个目录记录都有标识名(DistinguishedName,简称DN),用来读取单个记录,
一般是这样的:
cn=username,ou=people,dc=test,dc=com
几个关键字的含义如下:
- basedn:LDAP目录树的最顶部,也就是树的根,是上面的dc=test,dc=com部分,一般使用公司的域名,也可以写做o=test.com,前者更灵活一些。
- dc::DomainComponent,域名部分。
- ou:OrganizationUnit,组织单位,用于将数据区分开。
- cn:CommonName,一般使用用户名。
- uid:用户id,与cn的作用类似。
- sn:Surname,姓。
- rdn:Relativedn,dn中与目录树的结构无关的部分,通常存在cn或者uid这个属性里。
所以上面的dn代表一条记录,代表一位在test.com公司people部门的用户username。
python-ldap
python一般使用python-ldap库操作ldap,文档:https://www.python-ldap.org/en/latest/index.html。
下载:
pipinstallpython-ldap
还要安装一些环境,ubuntu:
apt-getinstallbuild-essentialpython3-devpython2.7-dev\ libldap2-devlibsasl2-devslapdldap-utilspython-tox\ lcovvalgrind
CentOS:
yumgroupinstall"Developmenttools" yuminstallopenldap-develpython-devel
获取LDAP地址后即可与LDAP建立连接:
importldap
ldapconn=ldap.initialize('ldap://192.168.1.111:389')
绑定用户,可用于用户验证,用户名必须是dn:
ldapconn.simple_bind_s('cn=username,ou=people,dc=test,dc=com',pwd)
成功认证时会返回一个tuple:
(97,[],1,[])
验证失败会报异常ldap.INVALID_CREDENTIALS:
{'desc':u'Invalidcredentials'}
注意验证时传空值验证也是可以通过的,注意要对dn和pwd进行检查。
查询LDAP用户信息时,需要登录管理员RootDN帐号:
ldapconn.simple_bind_s('cn=admin,dc=test,dc=com','adminpwd')
searchScope=ldap.SCOPE_SUBTREE
searchFilter='cn=username'
base_dn='ou=people,dc=test,dc=com'
printldapconn.search_s(base_dn,searchScope,searchFilter,None)
添加用户add_s(dn,modlist),dn为要添加的条目dn,modlist为存储信息:
dn='cn=test,ou=people,dc=test,dc=com'
modlist=[
('objectclass',['person','organizationalperson'],
('cn',['test']),
('uid',[''testuid]),
('userpassword',['pwd']),
]
result=ldapconn.add_s(dn,modlist)
添加成功会返回元组:
(105,[],2,[])
失败会报ldap.LDAPError异常
Django使用LDAP验证
一个很简单的LDAP验证Backend:
importldap classLDAPBackend(object): """ Authenticateswithldap. """ _connection=None _connection_bound=False defauthenticate(self,username=None,passwd=None,**kwargs): ifnotusernameornotpasswd: returnNone ifself._authenticate_user_dn(username,passwd): user=self._get_or_create_user(username,passwd) returnuser else: returnNone @property defconnection(self): ifnotself._connection_bound: self._bind() returnself._get_connection() def_bind(self): self._bind_as( LDAP_CONFIG['USERNAME'],LDAP_CONFIG['PASSWORD'],True ) def_bind_as(self,bind_dn,bind_password,sticky=False): self._get_connection().simple_bind_s( bind_dn,bind_password ) self._connection_bound=sticky def_get_connection(self): ifnotself._connection: self._connection=ldap.initialize(LDAP_CONFIG['HOST']) returnself._connection def_authenticate_user_dn(self,username,passwd): bind_dn='cn=%s,%s'%(username,LDAP_CONFIG['BASE_DN']) try: self._bind_as(bind_dn,passwd,False) returnTrue exceptldap.INVALID_CREDENTIALS: returnFalse def_get_or_create_user(self,username,passwd): #获取或者新建User returnuser
不想自己写的话,django与flask都有现成的库:
- django-ldap
- flask-ldap
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持毛票票。