我设法使ldap身份验证正常工作,但用户组却没有。通过身份验证的用户将用户名,名字,电子邮件..etc复制到会话中,但不是布尔值(从用户所属的组中获取)。
这是我的设置。py:
AUTHENTICATION_BACKENDS = [
'django_auth_ldap.backend.LDAPBackend',
'django.contrib.auth.backends.ModelBackend',
]
import ldap
from django_auth_ldap.config import LDAPSearch, GroupOfNamesType, GroupOfUniqueNamesType
AUTH_LDAP_SERVER_URI = "ldap://openldap"
AUTH_LDAP_BIND_DN = "cn=admin,dc=openldap"
AUTH_LDAP_BIND_PASSWORD = "admin"
AUTH_LDAP_USER_SEARCH = LDAPSearch("ou=django,dc=openldap",
ldap.SCOPE_SUBTREE, "(cn=%(user)s)")
AUTH_LDAP_USER_ATTR_MAP = {
"first_name": "givenName",
"last_name": "sn",
"email": "mail",
}
AUTH_LDAP_CACHE_TIMEOUT = 0
AUTH_LDAP_GROUP_CACHE_TIMEOUT = 0
AUTH_LDAP_PROFILE_ATTR_MAP = {"home_directory": "homeDirectory"}
AUTH_LDAP_MIRROR_GROUPS = True
AUTH_LDAP_FIND_GROUP_PERMS = True
AUTH_LDAP_ALWAYS_UPDATE_USER = True
AUTH_LDAP_GROUP_SEARCH = LDAPSearch("dc=openldap",
ldap.SCOPE_SUBTREE, "(objectClass=*)"
)
AUTH_LDAP_GROUP_TYPE = GroupOfNamesType(name_attr='cn')
AUTH_LDAP_USER_FLAGS_BY_GROUP = {
'is_active': 'cn=active,ou=groups,dc=openldap',
'is_staff': 'cn=staff,ou=groups,dc=openldap',
'is_superuser': 'cn=superuser,ou=groups,dc=openldap',
}
# # Simple group restrictions
# AUTH_LDAP_REQUIRE_GROUP = 'cn=enabled,ou=groups,dc=openldap',
# AUTH_LDAP_DENY_GROUP = 'cn=disabled,ou=groups,dc=openldap',
### ERROR LOGGING
import logging
logger = logging.getLogger('django_auth_ldap')
logger.addHandler(logging.StreamHandler())
logger.setLevel(logging.DEBUG)
这是我的ldap方案:
root是活动,员工和超级用户的一部分。
user1是活动帐户的一部分。
这是我从视图对用户进行身份验证时得到的:
我收到错误->不是
openldap | 5b444c1f conn=1015 fd=13 ACCEPT from IP=172.23.0.4:47230 (IP=0.0.0.0:389)
openldap | 5b444c1f conn=1015 op=0 BIND dn="cn=admin,dc=openldap" method=128
openldap | 5b444c1f conn=1015 op=0 BIND dn="cn=admin,dc=openldap" mech=SIMPLE ssf=0
openldap | 5b444c1f conn=1015 op=0 RESULT tag=97 err=0 text=
openldap | 5b444c1f conn=1015 op=1 SRCH base="ou=django,dc=openldap" scope=2 deref=0 filter="(cn=root)"
openldap | 5b444c1f <= mdb_equality_candidates: (cn) not indexed
openldap | 5b444c1f conn=1015 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
django | search_s('ou=django,dc=openldap', 2, '(cn=%(user)s)') returned 1 objects: cn=root,ou=django,dc=openldap
openldap | 5b444c1f conn=1015 op=2 BIND anonymous mech=implicit ssf=0
openldap | 5b444c1f conn=1015 op=2 BIND dn="cn=root,ou=django,dc=openldap" method=128
openldap | 5b444c1f conn=1015 op=2 BIND dn="cn=root,ou=django,dc=openldap" mech=SIMPLE ssf=0
openldap | 5b444c1f conn=1015 op=2 RESULT tag=97 err=0 text=
django | Populating Django user root
openldap | 5b444c1f conn=1015 op=3 BIND anonymous mech=implicit ssf=0
openldap | 5b444c1f conn=1015 op=3 BIND dn="cn=admin,dc=openldap" method=128
openldap | 5b444c1f conn=1015 op=3 BIND dn="cn=admin,dc=openldap" mech=SIMPLE ssf=0
openldap | 5b444c1f conn=1015 op=3 RESULT tag=97 err=0 text=
openldap | 5b444c1f conn=1015 op=4 CMP dn="cn=active,ou=groups,dc=openldap" attr="member"
openldap | 5b444c1f conn=1015 op=4 RESULT tag=111 err=16 text=
django | cn=root,ou=django,dc=openldap is not a member of cn=active,ou=groups,dc=openldap
openldap | 5b444c1f conn=1015 op=5 CMP dn="cn=staff,ou=groups,dc=openldap" attr="member"
openldap | 5b444c1f conn=1015 op=5 RESULT tag=111 err=16 text=
openldap | 5b444c1f conn=1015 op=6 CMP dn="cn=superuser,ou=groups,dc=openldap" attr="member"
openldap | 5b444c1f conn=1015 op=6 RESULT tag=111 err=16 text=
django | cn=root,ou=django,dc=openldap is not a member of cn=staff,ou=groups,dc=openldap
django | cn=root,ou=django,dc=openldap is not a member of cn=superuser,ou=groups,dc=openldap
openldap | 5b444c1f conn=1015 op=7 SRCH base="dc=openldap" scope=2 deref=0 filter="(&(objectClass=*)(member=cn=root,ou=django,dc=openldap))"
openldap | 5b444c1f <= mdb_equality_candidates: (member) not indexed
openldap | 5b444c1f conn=1015 op=7 SEARCH RESULT tag=101 err=0 nentries=0 text=
django | search_s('dc=openldap', 2, '(&(objectClass=*)(member=cn=root,ou=django,dc=openldap))') returned 0 objects:
PS:对用户进行身份验证没有问题,但是当我打印user.is_staff
,user.is_active
和user.is_superuser
时,我得到的都是False
。
答案 0 :(得分:1)
我知道我要迟到几年才能答复,但是当我尝试使用ColumnInfo
使用我的AD服务器来解决自己的问题时,我偶然发现了您的问题。
从您的日志中,我可以看到一些这样的消息:
{ColumnId , ColumnValues}
为我解决了问题的是here的以下引文:
如果您的过滤条件过于具体,则中间的组将为 被忽略,导致组列表不完整。
不要使过滤器过于具体。无论如何都没关系 由于仅当用户属于这些组时才返回这些组, 甚至是间接的。
特别不适用于您的情况,并且可能与您的情况相反:我认为这是问题的症结所在。 django-auth-ldap
找不到您的群组。我认为您是从DC开始的。尝试将您的django | cn=root,ou=django,dc=openldap is not a member of cn=superuser,ou=groups,dc=openldap
更改为更具体一些,如下所示,以查看是否有帮助:
django-auth-ldap
无论如何,我都不是LDAP / AD的专家。