脚本专栏 发布日期:2025/1/27 浏览次数:1
1.安装Python-LDAP(python_ldap-2.4.25-cp27-none-win_amd64.whl)pip install python_ldap-2.4.25-cp27-none-win_amd64.whl
2.安装django-auth-ldap(django-auth-ldap-1.2.8.tar.gz)(下载:https://pypi.python.org/pypi/django-auth-ldap),Windows下也可以使用 python setup.py install
安装成功后运行命令,运行成功表示安装成功
from django_auth_ldap.config import LDAPSearch, LDAPSearchUnion, GroupOfNamesType
3.配置settings.py,增加如下:
参考:https://pypi.python.org/pypi/django-auth-ldap/1.2.1说明文档
# -*- coding: UTF-8 -*- import ldap from django_auth_ldap.config import LDAPSearch #导入LDAP model AUTHENTICATION_BACKENDS = ( 'django_auth_ldap.backend.LDAPBackend', #配置为先使用LDAP认证,如通过认证则不再使用后面的认证方式 'django.contrib.auth.backends.ModelBackend', ) AUTH_LDAP_SERVER_URI = 'ldap://192.168.200.20:389' AUTH_LDAP_BIND_DN = 'CN=test01,OU=ServerAdmin,DC=uu,DC=yyy,DC=com' AUTH_LDAP_BIND_PASSWORD = '123456' OU = unicode('OU=中文名,DC=uu,DC=yyy,DC=com', 'utf8') #限制哪个OU中的用户可以进行AD认证。如果OU中包含有中文字符,则需要这样写,否则会出现ascii无法识别的报错(UnicodeDecodeError: 'ascii' codec can't decode byte 0xc3 in position) # OU0 = 'OU=ServerAdmin,DC=uxin,DC=youxinpai,DC=com' # OU = unicode('OU=优,DC=uxin,DC=youxinpai,DC=com', 'utf8') # OU1 = u'OU=优,DC=uxin,DC=youxinpai,DC=com' # OU2 = u'OU=\u4f18,DC=uxin,DC=youxinpai,DC=com' # OU == OU1 == OU2 #返回True #检索单个OU AUTH_LDAP_USER_SEARCH = LDAPSearch(OU, ldap.SCOPE_SUBTREE, "(&(objectClass=person)(sAMAccountName=%(user)s))") # 检索多个OU: # AUTH_LDAP_USER_SEARCH = LDAPSearchUnion( # LDAPSearch("ou=user,ou=ou1,ou=ou,dc=cn,dc=com",ldap.SCOPE_SUBTREE, "(&(objectClass=user)(sAMAccountName=%(user)s))"), # LDAPSearch("ou=user,ou=ou2,ou=ou,dc=cn,dc=com",ldap.SCOPE_SUBTREE, "(&(objectClass=user)(sAMAccountName=%(user)s))"), # ) #将账号的姓、名、邮件地址保存到django的auth_user表中,在admin后台可以看到 AUTH_LDAP_USER_ATTR_MAP = { "first_name": "givenName", "last_name": "sn", "email": "mail" }
同步用户组信息:
当用户登录后,如果用户属于某个组,则会将该组同步到auth_group表中,之后在admin后台可以对该组进行权限设置,之后同属于该组的用户在登录后则具有相应的权限。
当一个用户不再属于某个组,该组也不会被自动删掉,在admin后台手工删掉即可。
from django_auth_ldap.config import LDAPSearch, LDAPSearchUnion, GroupOfNamesType AUTH_LDAP_GROUP_TYPE = GroupOfNamesType(name_attr="cn") #返回的组的类型,并用来判断用户与组的从属关系 OUg = unicode('OU=安全组,DC=uu,DC=yyy,DC=com', 'utf8') AUTH_LDAP_GROUP_SEARCH = LDAPSearch(OUg,ldap.SCOPE_SUBTREE, "(objectClass=group)" ) #搜索某个OU下组信息 AUTH_LDAP_MIRROR_GROUPS = True #导入用户的组信息,在用户登录的时候把用户的域组关系同步过来。每次用户登录时,都会把用户的组关系删除,重新从ldap中进行同步(解决办法参考后面) AUTH_LDAP_ALWAYS_UPDATE_USER = True #是否同步LDAP修改
4.编辑views.py,当用户通过认证后,还可以使用django自带的用户认证、权限设置模块:
from django.contrib.auth import authenticate,login as auth_login,logout as auth_logout from django.contrib.auth.models import User @csrf_exempt def loginauth(request): user_loggedin='Guest' errors_list=[] if request.method == 'POST': print 'pp: ',request.POST.get('name'),request.POST.get('password') name = request.POST.get('name') password = request.POST.get('password') user = authenticate(username=name, password=password) print 'authuser',user if user is not None: auth_login(request,user) uu=request.user u=User.objects.get(username=uu)return HttpResponseRedirect("../check_dict") context={'errors_list':errors_list,'user_loggedin':user_loggedin} return render(request,'aptest/loginauth.html',context)
auth_user表结构:
admin后台显示:
解决中文乱码问题(有问题可以试下):
在安装django-auth-ldap-1.2.8.tar之前,先在里面的.py中加上'# -*- coding: UTF-8 -*-'
修改C:\Python27\Lib\site-packages\Django-1.8.4-py2.7.egg\django\conf\global_settings.py和修改settings.py,如下:
TIME_ZONE = 'Asia/Shanghai' LANGUAGE_CODE = 'zh-hans'
======================== ========================
LDAP用户验证基本原理
每个用户在LDAP系统中有一个唯一的DN值,例如配置文件中默认的admin用户在LDAP中的DN值是uid=admin,ou=system,dc=eoncloud,dc=com, 其中eoncloud.com是域名,system是组名,admin是用户名,有些LDAP用cn而不是uid来生成DN,在这种系统中admin的DN看起来像这样cn=admin,ou=system,dc=eoncloud,dc=com,无论是uid还是cn或是别的前缀,django-ldap-auth都是用dn来验证用户和获取用户信息的.
假设用户输入的帐号及密码是: test, password.
django-auth-ldap有2个方式来获取用户的DN
基本配置
用户组配置
如果需要,django-auth-ldap可以从ldap系统获取用户的组信息,也可以限定某个组里的用户访问,或者阻止某个组里的用户访问,无论是使用哪个功能都需要先配置组类型AUTH_LDAP_GROUP_TYPE及AUTH_LDAP_GROUP_SEARCH, 因为LDAP里组的种类非常多,具体信息请查询相关资料.
AUTH_LDAP_GROUP_TYPE
AUTH_LDAP_GROUP_SEARCH
AUTH_LDAP_REQUIRE_GROUP
AUTH_LDAP_DENY_GROUP指定的
AUTH_LDAP_MIRROR_GROUPS
AUTH_LDAP_MIRROR_GROUPS=True 这个参数是为了在用户登录的时候把用户的域组关系也获取并记录下来。不过开启这个参数会带来另外一个问题:每次用户登录时,都会把用户的组关系删除,重新从ldap中进行同步。由于我们的系统中除了域组还有些自定义的组关系,这样一来自定义组的用户关系就不能持久保留了。按照我们的需求,其实只希望在用户第一次登录的时候同步组关系,以后的登录并不需要。这个需求可以通过对django-auth-ldap的源码(backend.py)进行微调来实现。
backend.py源码:
def _get_or_create_user(self, force_populate=False): ... ... if self.settings.MIRROR_GROUPS: self._mirror_groups() #修改为如下,然后重新安装django-auth-ldap-1.2.8.tar,重启WEB重新验证即可。 if self.settings.MIRROR_GROUPS and created: self._mirror_groups()
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持。