Python使用LDAP做用户认证
LDAP(Light Directory Access Portocol)是轻量目录访问协议,基于X.500标准,支持TCP/IP。
LDAP目录以树状的层次结构来存储数据。每个目录记录都有标识名(Distinguished Name,简称DN),用来读取单个记录,一般是这样的:
1 | cn=username,ou=people,dc=test,dc=com |
几个关键字的含义如下:
- base dn:LDAP目录树的最顶部,也就是树的根,是上面的dc=test,dc=com部分,一般使用公司的域名,也可以写做o=test.com,前者更灵活一些。
- dc::Domain Component,域名部分。
- ou:Organization Unit,组织单位,用于将数据区分开。
- cn:Common Name,一般使用用户名。
- uid:用户id,与cn的作用类似。
- sn:Surname, 姓。
- rdn:Relative dn,dn中与目录树的结构无关的部分,通常存在cn或者uid这个属性里。
所以上面的dn代表一条记录,代表一位在test.com公司people部门的用户username。
python-ldap
python一般使用python-ldap库操作ldap,文档:https://www.python-ldap.org/en/latest/index.html。
下载:
1 | pip install python-ldap |
还要安装一些环境,ubuntu:
1 2 3 | apt-get install build-essential python3-dev python2.7-dev \ libldap2-dev libsasl2-dev slapd ldap-utils python-tox \ lcov valgrind |
CentOS:
1 2 | yum groupinstall "Development tools"yum install openldap-devel python-devel |
获取LDAP地址后即可与LDAP建立连接:
1 2 | import ldapldapconn = ldap.initialize('ldap://192.168.1.111:389') |
绑定用户,可用于用户验证,用户名必须是dn:
1 | ldapconn.simple_bind_s('cn=username,ou=people,dc=test,dc=com', pwd) |
成功认证时会返回一个tuple:
1 | (97, [], 1, []) |
验证失败会报异常ldap.INVALID_CREDENTIALS:
1 | {'desc': u'Invalid credentials'} |
注意验证时传空值验证也是可以通过的,注意要对dn和pwd进行检查。
查询LDAP用户信息时,需要登录管理员RootDN帐号:
1 2 3 4 5 | ldapconn.simple_bind_s('cn=admin,dc=test,dc=com', 'adminpwd')searchScope = ldap.SCOPE_SUBTREEsearchFilter = 'cn=username'base_dn = 'ou=people,dc=test,dc=com'print ldapconn.search_s(base_dn, searchScope, searchFilter, None) |
添加用户add_s(dn, modlist),dn为要添加的条目dn,modlist为存储信息:
1 2 3 4 5 6 7 8 | dn = 'cn=test,ou=people,dc=test,dc=com'modlist = [ ('objectclass', ['person', 'organizationalperson'], ('cn', ['test']), ('uid', [''testuid]), ('userpassword', ['pwd']),]result = ldapconn.add_s(dn, modlist) |
添加成功会返回元组:
1 | (105, [], 2, []) |
失败会报ldap.LDAPError异常
Django使用LDAP验证
一个很简单的LDAP验证Backend:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 | import ldapclass LDAPBackend(object): """ Authenticates with ldap. """ _connection = None _connection_bound = False def authenticate(self, username=None, passwd=None, **kwargs): if not username or not passwd: return None if self._authenticate_user_dn(username, passwd): user = self._get_or_create_user(username, passwd) return user else: return None @property def connection(self): if not self._connection_bound: self._bind() return self._get_connection() def _bind(self): self._bind_as( LDAP_CONFIG['USERNAME'], LDAP_CONFIG['PASSWORD'], True ) def _bind_as(self, bind_dn, bind_password, sticky=False): self._get_connection().simple_bind_s( bind_dn, bind_password ) self._connection_bound = sticky def _get_connection(self): if not self._connection: self._connection = ldap.initialize(LDAP_CONFIG['HOST']) return self._connection def _authenticate_user_dn(self, username, passwd): bind_dn = 'cn=%s,%s' % (username, LDAP_CONFIG['BASE_DN']) try: self._bind_as(bind_dn, passwd, False) return True except ldap.INVALID_CREDENTIALS: return False def _get_or_create_user(self, username, passwd): # 获取或者新建User return user |
不想自己写的话,django与flask都有现成的库:
分类:
Python
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 从 HTTP 原因短语缺失研究 HTTP/2 和 HTTP/3 的设计差异
· AI与.NET技术实操系列:向量存储与相似性搜索在 .NET 中的实现
· 基于Microsoft.Extensions.AI核心库实现RAG应用
· Linux系列:如何用heaptrack跟踪.NET程序的非托管内存泄露
· 开发者必知的日志记录最佳实践
· winform 绘制太阳,地球,月球 运作规律
· TypeScript + Deepseek 打造卜卦网站:技术与玄学的结合
· AI 智能体引爆开源社区「GitHub 热点速览」
· 写一个简单的SQL生成工具
· Manus的开源复刻OpenManus初探