我的Django(Django 1.11)项目使用django-auth-ldap 1.2作为身份验证支持。
使用以下方法验证任何用户代理LDAP数据库没有问题:
@login_required(login_url='/accounts/login/')
在这种情况下,任何组中的任何用户都可以登录该站点。
我想只允许来自'group1'的用户访问该网站。 我使用下面列出的代码
from django.shortcuts import render
from django.template import loader
from django.http import HttpResponse
from django.contrib.auth.decorators import login_required
from django.contrib.auth import views as auth_views
@user_passes_test(
lambda u: hasattr(u, 'ldap_user') and 'group1' in u.ldap_user.group_names,
login_url='/accounts/login/')
def index(request):
template = loader.get_template('main/index.html')
return HttpResponse(template.render())
这是代码无效,用户永远不会通过测试。 根据模型文档django-auth-ldap Document,我可以使用ldap_user.group_names来获取用户的组名。
以下是settings.py中的ldap设置:
import os
import django
AUTHENTICATION_BACKENDS = ('django_auth_ldap.backend.LDAPBackend',)
import ldap
from django_auth_ldap.config import LDAPSearch, GroupOfNamesType
AUTH_LDAP_SERVER_URI = "ldap://mydomain.com"
AUTH_LDAP_BIND_DN = "cn=admin,dc=mydomain,dc=com"
AUTH_LDAP_BIND_PASSWORD = "mypass"
AUTH_LDAP_USER_SEARCH = LDAPSearch("ou=ou_org_unit,dc=mydomain,dc=com",
ldap.SCOPE_SUBTREE, "(uid=%(user)s)")
AUTH_LDAP_GROUP_SEARCH = LDAPSearch("ou=ou_org_unit,cn=group1,cn=group2,dc=mydomain,dc=com",
ldap.SCOPE_SUBTREE, "(objectClass=groupOfNames)"
)
AUTH_LDAP_GROUP_TYPE = GroupOfNamesType()
AUTH_LDAP_USER_ATTR_MAP = {
"first_name": "givenName",
"last_name": "sn",
"email": "mail"
}
AUTH_LDAP_FIND_GROUP_PERMS = True
AUTH_LDAP_CACHE_GROUPS = True
AUTH_LDAP_GROUP_CACHE_TIMEOUT = 3600
我的问题是: 为什么我无法使用此代码验证任何用户?
答案 0 :(得分:1)
如果要将登录限制为单个组,则应使用AUTH_LDAP_REQUIRE_GROUP设置。
您还可能希望使用AUTH_LDAP_MIRROR_GROUPS,以便将所有LDAP组自动加载到Django数据库中。
作为奖励,您可以使用AUTH_LDAP_REQUIRE_GROUP
课程在LDAPGroupQuery
设置中添加多个群组。例如(取自the documentation):
from django_auth_ldap.config import LDAPGroupQuery
AUTH_LDAP_REQUIRE_GROUP = (
(
LDAPGroupQuery("cn=enabled,ou=groups,dc=example,dc=com") |
LDAPGroupQuery("cn=also_enabled,ou=groups,dc=example,dc=com")
) &
~LDAPGroupQuery("cn=disabled,ou=groups,dc=example,dc=com")
)