了解LDAP之前需要先了解“目录服务”,目录服务是一个特殊的数据库,用来保存描述性的、基于属性的详细信息,支持过滤功能。如:人员组织管理,电话簿,地址簿。
LDAP(Light Directory Access Portocol),它是基于X.500标准的轻量级目录访问协议,LDAP是开放的Internet标准,支持跨平台的Internet协议,在业界中得到广泛认可的,并且市场上或者开源社区上的大多产品都加入了对LDAP的支持,因此对于这类系统,不需单独定制,只需要通过LDAP做简单的配置就可以与服务器做认证交互。“简单粗暴”,可以大大降低重复开发和对接的成本。
每一个系统、协议都会有属于自己的模型,LDAP也不例外,在了解LDAP的基本模型之前我们需要先了解几个LDAP的目录树概念
关键字 |
英文全称 |
含义 |
---|---|---|
dc |
Domain Component |
域名的部分,其格式是将完整的域名分成几部分,如域名为example.com变成dc=example,dc=com(一条记录的所属位置) |
uid |
User Id |
用户ID songtao.xu(一条记录的ID) |
ou |
Organization Unit |
组织单位,组织单位可以包含其他各种对象(包括其他组织单元),如“oa组”(一条记录的所属组织) |
cn |
Common Name |
公共名称,如“Thomas Johansson”(一条记录的名称) |
sn |
Surname |
姓,如“许” |
dn |
Distinguished Name |
“uid=songtao.xu,ou=oa组,dc=example,dc=com”,一条记录的位置(唯一) |
rdn |
Relative dn |
相对辨别名,类似于文件系统中的相对路径,它是与目录树结构无关的部分,如“uid=tom”或“cn= Thomas Johansson” |
1.Ldap目录结构如下:
distinguished Name ,DN)
cn=doubao,ou=Ops,dc=shuyun,dc=com
。DN在语法上是由多个相对的标识名(distinguished Name ,DN
)组成的,他们之间由逗号分隔。2.在ldap系统中查看结果如下:
如上图所示:ldap的基本搜索入口就是 'dc=***,dc=com'
,也就是你用管理员登录时需要写的入口。
ldap3是一个可以支持ldap连接的库,官方文档:https://ldap3.readthedocs.io/
pip install ldap3
from ldap3 import Server, Connection,SUBTREE ldap_host = 'xx.xx.x.x' #ldap服务器地址 ldap_port = 389 #默认389 ldap_admin_user = 'xx' #ldap管理员账户用户名 ldap_admin_password = 'xxx' #ldap管理员账户密码 ldap_base_search = 'dc=xx,dc=xx' #查询域 def ldap_auth(username, password): ''' ldap验证方法 :param username: 用户名 :param password: 密码 :return: ''' s = Server(host=ldap_host, port=ldap_port, use_ssl=False, get_info='ALL') #连接ldap服务器 ldapz_admin_connection = Connection(s, user=ldap_admin_user, password=ldap_admin_password, auto_bind='NONE', version=3, authentication='SIMPLE', client_strategy='SYNC', auto_referrals=True, check_names=True, read_only=False, lazy=False, raise_exceptions=False) # 连上以后必须bind才能有值 ldapz_admin_connection.bind() # 这个是为了查询你输入的用户名的入口搜索地址 res = ldapz_admin_connection.search(search_base=ldap_base_search, search_filter='(sAMAccountName={})'.format(username), search_scope=SUBTREE, attributes=['cn', 'givenName', 'mail', 'sAMAccountName'], ) try: if res: entry = ldapz_admin_connection.response[0] logger.info(entry) dn = entry['dn'] attr_dict = entry['attributes'] logger.info('attr_dic:%s' %attr_dict) try: # 这个connect是通过你的用户名和密码还有上面搜到的入口搜索来查询的 conn2 = Connection(s, user=dn, password=password, check_names=True, lazy=False, raise_exceptions=False) conn2.bind() # logger.info(conn2.result["description"]) # 正确-success 不正确-invalidCredentials if conn2.result["description"] == "success": logger.info("ldap auth pass!") return True else: logger.info("username or password error!") return False except Exception as e: logger.info("username or password error!") logger.info(e) return False except KeyError as e: logger.info("username or password error!") logger.info(e) return False ldap_auth(xxx,xxxx)
本文分享自微信公众号 - QA一隅(sutune2020)
原文出处及转载信息见文内详细说明,如有侵权,请联系 [email protected] 删除。
原始发表时间: 2020-10-09
本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。