ldap(light directory access portocol)是轻量目录访问协议,基于x.500标准,支持tcp/ip。
ldap目录以树状的层次结构来存储数据。每个目录记录都有标识名(distinguished name,简称dn),用来读取单个记录,
一般是这样的:
|
1
|
cn=username,ou=people,dc=test,dc=com
|
几个关键字的含义如下:
- base dn:ldap目录树的最顶部,也就是树的根,是上面的dc=test,dc=com部分,一般使用公司的域名,也可以写做o=test.com,前者更灵活一些。
- dc::domain component,域名部分。
- ou:organization unit,组织单位,用于将数据区分开。
- cn:common name,一般使用用户名。
- uid:用户id,与cn的作用类似。
- sn:surname, 姓。
- rdn:relative dn,dn中与目录树的结构无关的部分,通常存在cn或者uid这个属性里。
所以上面的dn代表一条记录,代表一位在test.com公司people部门的用户username。
python-ldap
python一般使用python-ldap库操作ldap,文档:https://www.python-ldap.org/en/latest/index.html。
下载:
|
1
|
pip install python-ldap
|
还要安装一些环境,ubuntu:
|
1
2
3
|
apt-get install build-essential python3-dev python2.7-dev \
libldap2-dev libsasl2-dev slapd ldap-utils python-tox \
lcov valgrind
|
centos:
|
1
2
|
yum groupinstall "development tools"
yum install openldap-devel python-devel
|
获取ldap地址后即可与ldap建立连接:
|
1
2
|
import ldap
ldapconn = ldap.initialize('ldap://192.168.1.111:389')
|
绑定用户,可用于用户验证,用户名必须是dn:
|
1
|
ldapconn.simple_bind_s('cn=username,ou=people,dc=test,dc=com', pwd)
|
成功认证时会返回一个tuple:
|
1
|
(97, [], 1, [])
|
验证失败会报异常ldap.invalid_credentials:
|
1
|
{'desc': u'invalid credentials'}
|
注意验证时传空值验证也是可以通过的,注意要对dn和pwd进行检查。
查询ldap用户信息时,需要登录管理员rootdn帐号:
|
1
2
3
4
5
|
ldapconn.simple_bind_s('cn=admin,dc=test,dc=com', 'adminpwd')
searchscope = ldap.scope_subtree
searchfilter = 'cn=username'
base_dn = 'ou=people,dc=test,dc=com'
print ldapconn.search_s(base_dn, searchscope, searchfilter, none)
|
添加用户add_s(dn, modlist),dn为要添加的条目dn,modlist为存储信息:
|
1
2
3
4
5
6
7
8
|
dn = 'cn=test,ou=people,dc=test,dc=com'
modlist = [
('objectclass', ['person', 'organizationalperson'],
('cn', ['test']),
('uid', [''testuid]),
('userpassword', ['pwd']),
]
result = ldapconn.add_s(dn, modlist)
|
添加成功会返回元组:
|
1
|
(105, [], 2, [])
|
失败会报ldap.ldaperror异常
django使用ldap验证
一个很简单的ldap验证backend:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
|
import ldap
class ldapbackend(object):
"""
authenticates with ldap.
"""
_connection = none
_connection_bound = false
def authenticate(self, username=none, passwd=none, **kwargs):
if not username or not passwd:
return none
if self._authenticate_user_dn(username, passwd):
user = self._get_or_create_user(username, passwd)
return user
else:
return none
@property
def connection(self):
if not self._connection_bound:
self._bind()
return self._get_connection()
def _bind(self):
self._bind_as(
ldap_config['username'], ldap_config['password'], true
)
def _bind_as(self, bind_dn, bind_password, sticky=false):
self._get_connection().simple_bind_s(
bind_dn, bind_password
)
self._connection_bound = sticky
def _get_connection(self):
if not self._connection:
self._connection = ldap.initialize(ldap_config['host'])
return self._connection
def _authenticate_user_dn(self, username, passwd):
bind_dn = 'cn=%s,%s' % (username, ldap_config['base_dn'])
try:
self._bind_as(bind_dn, passwd, false)
return true
except ldap.invalid_credentials:
return false
def _get_or_create_user(self, username, passwd):
# 获取或者新建user
return user
|
不想自己写的话,django与flask都有现成的库:
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持服务器之家。
原文链接:https://www.cnblogs.com/linxiyue/p/10250243.html