了解LDAP之前需要先了解“目录服务”,目录服务是一个特殊的数据库,用来保存描述性的、基于属性的详细信息,支持过滤功能。如:人员组织管理,电话簿,地址簿。
LDAP(Light Directory Access Portocol),它是基于X.500标准的轻量级目录访问协议,LDAP是开放的Internet标准,支持跨平台的Internet协议,在业界中得到广泛认可的,并且市场上或者开源社区上的大多产品都加入了对LDAP的支持,因此对于这类系统,不需单独定制,只需要通过LDAP做简单的配置就可以与服务器做认证交互。“简单粗暴”,可以大大降低重复开发和对接的成本。
每一个系统、协议都会有属于自己的模型,LDAP也不例外,在了解LDAP的基本模型之前我们需要先了解几个LDAP的目录树概念
|
关键字 |
英文全称 |
含义 |
|---|---|---|
|
dc |
Domain Component |
域名的部分,其格式是将完整的域名分成几部分,如域名为example.com变成dc=example,dc=com(一条记录的所属位置) |
|
uid |
User Id |
用户ID songtao.xu(一条记录的ID) |
|
ou |
Organization Unit |
组织单位,组织单位可以包含其他各种对象(包括其他组织单元),如“oa组”(一条记录的所属组织) |
|
cn |
Common Name |
公共名称,如“Thomas Johansson”(一条记录的名称) |
|
sn |
Surname |
姓,如“许” |
|
dn |
Distinguished Name |
“uid=songtao.xu,ou=oa组,dc=example,dc=com”,一条记录的位置(唯一) |
|
rdn |
Relative dn |
相对辨别名,类似于文件系统中的相对路径,它是与目录树结构无关的部分,如“uid=tom”或“cn= Thomas Johansson” |
1.Ldap目录结构如下:
distinguished Name ,DN) cn=doubao,ou=Ops,dc=shuyun,dc=com。DN在语法上是由多个相对的标识名(distinguished Name ,DN)组成的,他们之间由逗号分隔。2.在ldap系统中查看结果如下:
如上图所示:ldap的基本搜索入口就是 'dc=***,dc=com',也就是你用管理员登录时需要写的入口。
ldap3是一个可以支持ldap连接的库,官方文档:https://ldap3.readthedocs.io/
pip install ldap3
from ldap3 import Server, Connection,SUBTREE
ldap_host = 'xx.xx.x.x' #ldap服务器地址
ldap_port = 389 #默认389
ldap_admin_user = 'xx' #ldap管理员账户用户名
ldap_admin_password = 'xxx' #ldap管理员账户密码
ldap_base_search = 'dc=xx,dc=xx' #查询域
def ldap_auth(username, password):
'''
ldap验证方法
:param username: 用户名
:param password: 密码
:return:
'''
s = Server(host=ldap_host, port=ldap_port, use_ssl=False, get_info='ALL')
#连接ldap服务器
ldapz_admin_connection = Connection(s, user=ldap_admin_user, password=ldap_admin_password, auto_bind='NONE',
version=3,
authentication='SIMPLE', client_strategy='SYNC', auto_referrals=True,
check_names=True,
read_only=False, lazy=False,
raise_exceptions=False)
# 连上以后必须bind才能有值
ldapz_admin_connection.bind()
# 这个是为了查询你输入的用户名的入口搜索地址
res = ldapz_admin_connection.search(search_base=ldap_base_search,
search_filter='(sAMAccountName={})'.format(username),
search_scope=SUBTREE,
attributes=['cn', 'givenName', 'mail', 'sAMAccountName'],
)
try:
if res:
entry = ldapz_admin_connection.response[0]
logger.info(entry)
dn = entry['dn']
attr_dict = entry['attributes']
logger.info('attr_dic:%s' %attr_dict)
try:
# 这个connect是通过你的用户名和密码还有上面搜到的入口搜索来查询的
conn2 = Connection(s, user=dn, password=password, check_names=True, lazy=False, raise_exceptions=False)
conn2.bind()
# logger.info(conn2.result["description"])
# 正确-success 不正确-invalidCredentials
if conn2.result["description"] == "success":
logger.info("ldap auth pass!")
return True
else:
logger.info("username or password error!")
return False
except Exception as e:
logger.info("username or password error!")
logger.info(e)
return False
except KeyError as e:
logger.info("username or password error!")
logger.info(e)
return False
ldap_auth(xxx,xxxx)
本文分享自微信公众号 - QA一隅(sutune2020)
原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。
原始发表时间: 2020-10-09
本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。