python访问AD域ldap安全连接

　　最近整python操作ad域，找到了python中有相应的第三方库ldap，分为两种模式：安全连接636端口和非安全连接389端口，非安全连接可以执行添加操作，但是添加的用户密码为空，如果需要修改密码需要在安全连接下，安全连接则需要导入证书。

　　硬件环境：Windows Server2019+python

1、AD域安装证书服务

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 这里需要安装上最基本的证书颁发机构，证书颁发机构Web注册也可以勾选，勾选上可以在客户端使用web注册申请证书的方式即可完成证书申请，不勾选的话需要在域控上添加证书即可。

 

 

 

 

 

编辑证书服务，创建企业CA

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

中途设置根据自己的需要进行修改

 

 

 进入证书颁发机构可以查看已办发的证书。

3.域控上配置证书（注，本步骤和第四步可以达到同样的目的，即使第三步不做第四步也会在域控上添加上证书）

Win+R输入mmc，添加/删除管理单元，选择 证书，安装到本地计算机，确定即可

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 此时会弹出证书界面，在个人证书有一个域控计算机名称的证书，此时可以尝试编写代码进行安全连接，如果不行，参考微软连接进行本地证书下载。

web访问http://<server IP/name>/certsrv 需要使用IE浏览器，

 

 

 

 

 

 

如果弹出为了完成证书注册，必须奖该CA的网站配置为使用HTTPS身份验证，或者进入之后CSP选项一直显示正在加载或者显示为空，需要设置IE的模式

 

 IE设置->Internet选项，找到连接到AD域的相应区域，选择自定义级别

 

 将几项设置为启用，此时window会报有风险，可以在证书申请完毕之后 恢复设置。

 

 

 

 如果出现一下提示信息，可以继续提交申请：

 

 填写信息如下：

 

 提交申请之后即可安装证书。

证书模板选择，可以根据自己的需要进行选择，不同模板可以在AD域服务器的证书颁发机构--证书模板，查看不同的区别。

 

 注

目前企业CA可以完成安全连接，独立CA一致提示远程连接被关闭，暂时还没有找到解决方案，如有大神可以赐教，万分感谢。

本文章是在虚拟机上搭建了一个AD服务器，只是个人的看法和见解，如有不足之处，请多多包涵，也希望有大神能够指导一些原理或者不同的解决方案。

附：测试源代码

from ldap3 import Server, ALL, NTLM, Connection

def adConnection(AD_Server, admin_user, admin_passwd):
    try:
        server = Server(host=AD_Server, get_info=ALL)  # 默认端口389
        conn = Connection(server, user=admin_user, password=admin_passwd, auto_bind=True, authentication=NTLM)
        if conn.bind():
            print(AD_Server, "---AD域登陆成功")
            print(conn)
            return conn
        else:
            print(AD_Server, "---AD域登陆失败")
            print(conn)
            print(conn.result)
    except Exception as e:
        print("连接失败，连接告警")
        print(e)


def adConnection_ssl(AD_Server, AD_admin_user, AD_admin_passwd):
    try:
        server = Server(host=AD_Server, port=636, use_ssl=True, get_info=ALL)  # 默认端口389
        conn = Connection(server, user=AD_admin_user, password=AD_admin_passwd, auto_bind=True, authentication=NTLM)
        if conn.bind():
            print(AD_Server, "---AD域登陆成功")
            print(conn)
            return conn
        else:
            print(AD_Server, "---AD域登陆成功")
            print(conn.result)
    except Exception as e:
        print("连接失败，连接告警")
        print(e)


if __name__ == '__main__':
    conn = adConnection_ssl(AD_Server, AD_admin_user, AD_admin_passwd)
    print(conn)

运行结果：

 

 

---

参考连接：

https://blog.csdn.net/qq_33997198/article/details/105297121 

https://docs.microsoft.com/zh-cn/troubleshoot/windows-server/windows-security/add-san-to-secure-ldap-certificate

https://www.cnblogs.com/haiya2019/p/10627730.html

https://ldap3.readthedocs.io/en/latest/