1.安裝Python-LDAP（python_ldap-2.4.25-cp27-none-win_amd64.whl）pip install python_ldap-2.4.25-cp27-none-win_amd64.whl

2.安裝django-auth-ldap（django-auth-ldap-1.2.8.tar.gz）（下載：https://pypi.python.org/pypi/django-auth-ldap），Windows下也可以使用 python setup.py install

安裝成功后運(yùn)行命令，運(yùn)行成功表示安裝成功

from django_auth_ldap.config import LDAPSearch, LDAPSearchUnion, GroupOfNamesType 

3.配置settings.py，增加如下：

參考：https://pypi.python.org/pypi/django-auth-ldap/1.2.1說明文檔

# -*- coding: UTF-8 -*-

import ldap
from django_auth_ldap.config import LDAPSearch #導(dǎo)入LDAP model

AUTHENTICATION_BACKENDS = ( 
  'django_auth_ldap.backend.LDAPBackend', #配置為先使用LDAP認(rèn)證，如通過認(rèn)證則不再使用后面的認(rèn)證方式
  'django.contrib.auth.backends.ModelBackend', 
) 

AUTH_LDAP_SERVER_URI = 'ldap://192.168.200.20:389'
AUTH_LDAP_BIND_DN = 'CN=test01,OU=ServerAdmin,DC=uu,DC=yyy,DC=com'
AUTH_LDAP_BIND_PASSWORD = '123456' 
OU = unicode('OU=中文名,DC=uu,DC=yyy,DC=com', 'utf8') #限制哪個(gè)OU中的用戶可以進(jìn)行AD認(rèn)證。如果OU中包含有中文字符，則需要這樣寫，否則會(huì)出現(xiàn)ascii無法識(shí)別的報(bào)錯(cuò)（UnicodeDecodeError: 'ascii' codec can't decode byte 0xc3 in position）
# OU0 = 'OU=ServerAdmin,DC=uxin,DC=youxinpai,DC=com'
# OU = unicode('OU=優(yōu),DC=uxin,DC=youxinpai,DC=com', 'utf8')
# OU1 = u'OU=優(yōu),DC=uxin,DC=youxinpai,DC=com'
# OU2 = u'OU=\u4f18,DC=uxin,DC=youxinpai,DC=com'
# OU == OU1 == OU2 #返回True
#檢索單個(gè)OU
AUTH_LDAP_USER_SEARCH = LDAPSearch(OU, ldap.SCOPE_SUBTREE, "(&(objectClass=person)(sAMAccountName=%(user)s))")

# 檢索多個(gè)OU：
# AUTH_LDAP_USER_SEARCH = LDAPSearchUnion( 
#   LDAPSearch("ou=user,ou=ou1,ou=ou,dc=cn,dc=com",ldap.SCOPE_SUBTREE, "(&(objectClass=user)(sAMAccountName=%(user)s))"), 
#   LDAPSearch("ou=user,ou=ou2,ou=ou,dc=cn,dc=com",ldap.SCOPE_SUBTREE, "(&(objectClass=user)(sAMAccountName=%(user)s))"), 
# ) 

#將賬號(hào)的姓、名、郵件地址保存到django的auth_user表中，在admin后臺(tái)可以看到
AUTH_LDAP_USER_ATTR_MAP = { 
  "first_name": "givenName",
  "last_name": "sn",
  "email": "mail"
} 

同步用戶組信息：

當(dāng)用戶登錄后，如果用戶屬于某個(gè)組，則會(huì)將該組同步到auth_group表中，之后在admin后臺(tái)可以對(duì)該組進(jìn)行權(quán)限設(shè)置，之后同屬于該組的用戶在登錄后則具有相應(yīng)的權(quán)限。

當(dāng)一個(gè)用戶不再屬于某個(gè)組，該組也不會(huì)被自動(dòng)刪掉，在admin后臺(tái)手工刪掉即可。

from django_auth_ldap.config import LDAPSearch, LDAPSearchUnion, GroupOfNamesType 

AUTH_LDAP_GROUP_TYPE = GroupOfNamesType(name_attr="cn") #返回的組的類型，并用來判斷用戶與組的從屬關(guān)系

OUg = unicode('OU=安全組,DC=uu,DC=yyy,DC=com', 'utf8')
AUTH_LDAP_GROUP_SEARCH = LDAPSearch(OUg,ldap.SCOPE_SUBTREE, "(objectClass=group)" ) #搜索某個(gè)OU下組信息
 
AUTH_LDAP_MIRROR_GROUPS = True #導(dǎo)入用戶的組信息，在用戶登錄的時(shí)候把用戶的域組關(guān)系同步過來。每次用戶登錄時(shí)，都會(huì)把用戶的組關(guān)系刪除，重新從ldap中進(jìn)行同步（解決辦法參考后面）

AUTH_LDAP_ALWAYS_UPDATE_USER = True #是否同步LDAP修改

4.編輯views.py，當(dāng)用戶通過認(rèn)證后，還可以使用django自帶的用戶認(rèn)證、權(quán)限設(shè)置模塊：

from django.contrib.auth import authenticate,login as auth_login,logout as auth_logout
from django.contrib.auth.models import User

@csrf_exempt
def loginauth(request):
  user_loggedin='Guest'
  errors_list=[]
  if request.method == 'POST':
    print 'pp: ',request.POST.get('name'),request.POST.get('password')
    name = request.POST.get('name')
    password = request.POST.get('password')
    user = authenticate(username=name, password=password)
    print 'authuser',user
    if user is not None:
      auth_login(request,user)
      uu=request.user
      u=User.objects.get(username=uu)return HttpResponseRedirect("../check_dict")
    
  context={'errors_list':errors_list,'user_loggedin':user_loggedin}
  return render(request,'aptest/loginauth.html',context)

auth_user表結(jié)構(gòu)：

admin后臺(tái)顯示：

解決中文亂碼問題（有問題可以試下）：

在安裝django-auth-ldap-1.2.8.tar之前，先在里面的.py中加上'# -*- coding: UTF-8 -*-'

修改C:\Python27\Lib\site-packages\Django-1.8.4-py2.7.egg\django\conf\global_settings.py和修改settings.py，如下：

TIME_ZONE = 'Asia/Shanghai'
LANGUAGE_CODE = 'zh-hans'

======================== ========================

LDAP用戶驗(yàn)證基本原理

每個(gè)用戶在LDAP系統(tǒng)中有一個(gè)唯一的DN值，例如配置文件中默認(rèn)的admin用戶在LDAP中的DN值是uid=admin,ou=system,dc=eoncloud,dc=com, 其中eoncloud.com是域名，system是組名，admin是用戶名，有些LDAP用cn而不是uid來生成DN，在這種系統(tǒng)中admin的DN看起來像這樣cn=admin,ou=system,dc=eoncloud,dc=com，無論是uid還是cn或是別的前綴，django-ldap-auth都是用dn來驗(yàn)證用戶和獲取用戶信息的.

假設(shè)用戶輸入的帳號(hào)及密碼是：　test, password.

django-auth-ldap有２個(gè)方式來獲取用戶的DN

1. 使用AUTH_LDAP_USER_DN_TEMPLATE提供的模板生成DN．如uid=%(user)s,ou=users,dc=eoncloud,dc=com, 其中%(user)s會(huì)被替換成用戶名，這樣最終的DN就是uid=test,ou=users,dc=eonclooud,dc=com.
2. 使用AUTH_LDAP_GROUP_SEARCH．如果沒有配置AUTH_LDAP_USER_DN_TEMPLATE，那么django-auth-ldap會(huì)使用AUTH_LDAP_BIND_DN和AUTH_LDAP_BIND_PASSWORD提供的dn與密碼根據(jù)AUTH_LDAP_GROUP_SEARCH提供的查詢條件去查找test用戶，如果查不到，驗(yàn)證失敗，如果查到用戶，就使用返回的數(shù)據(jù)生成test的DN.　
3. 利用第2步生成DN值與密碼嘗試訪問LDAP系統(tǒng)，如果訪問成功，則驗(yàn)證共過，否則驗(yàn)證失?。?/li>

基本配置

1. AUTH_LDAP_SERVER_URI． LDAP系統(tǒng)的地址及端口號(hào)
2. AUTH_LDAP_BIND_DN, AUTH_LDAP_BIND_PASSWORD. 查找用戶及相關(guān)信息的默認(rèn)用戶信息
3. AUTH_LDAP_USER_SEARCH．　第一個(gè)參數(shù)指指定詢目錄，第三個(gè)參數(shù)是過濾條件，過濾條件可以很復(fù)雜，有需要請(qǐng)查看相關(guān)文檔．
4. AUTH_LDAP_USER_DN_TEMPLATE．　用戶DN模板，配置該參數(shù)后django-auth-ldap會(huì)用生成的DN配合密碼驗(yàn)證該用戶．
5. AUTH_LDAP_USER_ATTR_MAP.　LDAP與User model映射．
6. AUTH_LDAP_ALWAYS_UPDATE_USER.　是否同步LDAP修改．

用戶組配置

如果需要，django-auth-ldap可以從ldap系統(tǒng)獲取用戶的組信息，也可以限定某個(gè)組里的用戶訪問，或者阻止某個(gè)組里的用戶訪問，無論是使用哪個(gè)功能都需要先配置組類型AUTH_LDAP_GROUP_TYPE及AUTH_LDAP_GROUP_SEARCH,　因?yàn)長(zhǎng)DAP里組的種類非常多，具體信息請(qǐng)查詢相關(guān)資料．

AUTH_LDAP_GROUP_TYPE

• 值類型: LDAPGroupType的子類實(shí)例．LDAPGroupType有２個(gè)初始化參數(shù):member_attr, name_attr．member_attr是組成員的屬性名, name_attr是組名稱的屬性名．
• 作用:　AUTH_LDAP_GROUP_SEARCH返回的組的類型，并用來判斷用戶與組的從屬關(guān)系

AUTH_LDAP_GROUP_SEARCH

• 值類型: LDAPSearch實(shí)例．
• 作用:　用戶組的查詢條件

AUTH_LDAP_REQUIRE_GROUP

• 值類型: 組的DN
• 作用: 只有指定組的用戶可以訪問

AUTH_LDAP_DENY_GROUP指定的

• 值類型: 組的DN
• 作用：　禁止指定組的用戶訪問

AUTH_LDAP_MIRROR_GROUPS

• 值類型: bool值
• 作用: 導(dǎo)入用戶的組信息

AUTH_LDAP_MIRROR_GROUPS=True 這個(gè)參數(shù)是為了在用戶登錄的時(shí)候把用戶的域組關(guān)系也獲取并記錄下來。不過開啟這個(gè)參數(shù)會(huì)帶來另外一個(gè)問題：每次用戶登錄時(shí)，都會(huì)把用戶的組關(guān)系刪除，重新從ldap中進(jìn)行同步。由于我們的系統(tǒng)中除了域組還有些自定義的組關(guān)系，這樣一來自定義組的用戶關(guān)系就不能持久保留了。按照我們的需求，其實(shí)只希望在用戶第一次登錄的時(shí)候同步組關(guān)系，以后的登錄并不需要。這個(gè)需求可以通過對(duì)django-auth-ldap的源碼（backend.py）進(jìn)行微調(diào)來實(shí)現(xiàn)。

backend.py源碼：

def _get_or_create_user(self, force_populate=False): 
...
...
  if self.settings.MIRROR_GROUPS: 
    self._mirror_groups() 

#修改為如下，然后重新安裝django-auth-ldap-1.2.8.tar，重啟WEB重新驗(yàn)證即可。
  if self.settings.MIRROR_GROUPS and created: 
    self._mirror_groups() 

以上就是本文的全部?jī)?nèi)容，希望對(duì)大家的學(xué)習(xí)有所幫助，也希望大家多多支持腳本之家。

最新評(píng)論