• Python使用ldap3做后台认证
  • 发布于 2个月前
  • 175 热度
    0 评论
  • T-Bag
  • 1 粉丝 25 篇博客
  •   
如果自己开发了一个工具或者一个系统,想让公司里其它人用。怎样才能迅速的接入到公司的人事系统,而自己的系统不需要弄账号管理系统呢?通常我们自己做的工具,都要用一套自己的账号管理系统,如果工具做得多,这些个账号管理系统又相互独立,维护和管理不是很方便。接入公司的人事系统才是一个好的选择。

LDAP(Light Directory Access Portocol),它是基于X.500标准的轻量级目录访问协议,LDAP是开放的Internet标准,支持跨平台的Internet协议,在业界中得到广泛认可的,并且市场上或者开源社区上的大多产品都加入了对LDAP的支持,因此对于这类系统,不需单独定制,只需要通过LDAP做简单的配置就可以与服务器做认证交互。“简单粗暴”,可以大大降低重复开发和对接的成本。

LDAP的基本模型

每一个系统、协议都会有属于自己的模型,LDAP也不例外,在了解LDAP的基本模型之前我们需要先了解几个LDAP的目录树概念

目录树
目录树:在一个目录服务系统中,整个目录信息集可以表示为一个目录信息树,树中的每个节点是一个条目。
条目:每个条目就是一条记录,每个条目有自己的唯一可区别的名称(DN)。
对象类:与某个实体类型对应的一组属性,对象类是可以继承的,这样父类的必须属性也会被继承下来。
属性:描述条目的某个方面的信息,一个属性由一个属性类型和一个或多个属性值组成,属性有必须属性和非必须属性。
python我们可以用ldap3这个库。当然ldap服务器的信息,要找运维去了解。
pip install ldap3
用python接入的代码如下
from ldap3 import Server, Connection,SUBTREE
ldap_host = 'xx.xx.x.x' #ldap服务器地址
ldap_port = 389 #默认389
ldap_admin_user = 'xx' #ldap管理员账户用户名
ldap_admin_password = 'xxx' #ldap管理员账户密码
ldap_base_search = 'dc=xx,dc=xx' #查询域

def ldap_auth(username, password):
    '''
    ldap验证方法
    :param username: 用户名
    :param password: 密码
    :return:
    '''
    s = Server(host=ldap_host, port=ldap_port, use_ssl=False, get_info='ALL')

    #连接ldap服务器
    ldapz_admin_connection = Connection(s, user=ldap_admin_user, password=ldap_admin_password, auto_bind='NONE',
                                        version=3,
                                        authentication='SIMPLE', client_strategy='SYNC', auto_referrals=True,
                                        check_names=True,
                                        read_only=False, lazy=False,
                                        raise_exceptions=False)


    # 连上以后必须bind才能有值
    ldapz_admin_connection.bind()


    # 这个是为了查询你输入的用户名的入口搜索地址
    res = ldapz_admin_connection.search(search_base=ldap_base_search,
                                        search_filter='(sAMAccountName={})'.format(username),
                                        search_scope=SUBTREE,
                                        attributes=['cn', 'givenName', 'mail', 'sAMAccountName'],
                                        )

    try:
        if res:
            entry = ldapz_admin_connection.response[0]
            logger.info(entry)
            dn = entry['dn']
            attr_dict = entry['attributes']
            logger.info('attr_dic:%s' %attr_dict)

            try:
                # 这个connect是通过你的用户名和密码还有上面搜到的入口搜索来查询的
                conn2 = Connection(s, user=dn, password=password, check_names=True, lazy=False, raise_exceptions=False)
                conn2.bind()
                # logger.info(conn2.result["description"])

                # 正确-success 不正确-invalidCredentials
                if conn2.result["description"] == "success":
                    logger.info("ldap auth pass!")
                    return True
                else:
                    logger.info("username or password error!")
                    return False
            except Exception as e:
                logger.info("username or password error!")
                logger.info(e)
                return False
    except KeyError as e:
        logger.info("username or password error!")
        logger.info(e)
        return False
       
ldap_auth(xxx,xxxx)
亲测可用。
如果我们要接入到django项目中呢?
django也有相应的库。
pip install django-python3-ldap

按照官网的配置即可。

如果在jenkins中也需要接入人事管理系统,只需要配置一下即可。

jenkins配置LDAP

配置
jenkins的系统管理找到Configure Global Security
访问控制 选择 LDAP。
配置如下:
Server: 10.10.43.66
root DN: ou=管理集团,dc=xiaoniu,dc=com
Manager DN: cn=gitlab,ou=Special,dc=xiaoniu,dc=com
Manager Password: git-ladp
点击 Test LDAP setting进行测试。
意外处理
如果LDAP配置失败,原来的例如admin账号也无法登陆了。
解决方法如下:
找到jenkins服务所在主机,找到数据文件夹,我这里配置的是/var/jenkins_home
找到config.xml
将<usesecurity>true</usesecurity>
设置为false
重启jenkins服务即可。

这样,一套系统就可以搞定所有的账号系统,自己做工具就不需要考虑这些了,更多的精力去搞搞其它逻辑。
用户评论