我正在尝试使用简单的LDAP身份验证创建django(v2.1.3)Web应用程序。该代码运行,我不完全知道为什么它不起作用。似乎没有向我连接到的LDAP后端验证用户信息。当我填写表格时,当我知道用户在测试服务器上时,它将始终返回“非活动用户”。我只想让它认识到它是“有效用户”
我正在针对http://www.forumsys.com/tutorials/integration-how-to/ldap/online-ldap-test-server/
上的LDAP测试服务器运行它这是我在项目中所做的更改:
settings.py
import ldap
from django_auth_ldap.config import LDAPSearch
AUTH_LDAP_SERVER_URI = "ldap://ldap.forumsys.com:389"
AUTH_LDAP_CONNECTION_OPTIONS = {
ldap.OPT_REFERRALS: 0
}
AUTH_LDAP_BIND_DN = "cn=read-only-admin,dc=example,dc=com"
AUTH_LDAP_BIND_PASSWORD = "password"
AUTH_LDAP_USER_SEARCH = LDAPSearch(
"dc=example,dc=com",
ldap.SCOPE_SUBTREE, "(uid=%(user)s)")
BASE_DIR = os.path.dirname(os.path.dirname(os.path.abspath(__file__)))
AUTHENTICATION_BACKENDS = [
'django_auth_ldap.backend.LDAPBackend',
]
views.py
from django.contrib.auth import authenticate, login
from django.shortcuts import render
def login_user(request):
email = password = ""
state = ""
if request.POST:
email = request.POST.get('email')
password = request.POST.get('password')
print (email, password)
user = authenticate(username=request.POST.get('email'), password=request.POST.get('password'))
if user is not None:
login(request, user)
state = "Valid account"
else:
state = "Inactive account"
return render(request, 'KPI/auth.html', {'state': state, 'email': email})
auth.html
<html>
<head>
<title>Login</title>
</head>
<body>
{{state}}
<form action="" method="post"> {% csrf_token %}
Email address: <input type="text" name="email" value="{{ email }}" />
Password: <input type="password" name="password" value="" />
<input type="submit" value="Log in" />
</form>
</body>
</html>
编辑:
我知道设置配置是正确的,因为当我运行ldapsearch -W -h ldap.forumsys.com -p 389 -D "cn=read-only-admin,dc=example,dc=com" -b "dc=example,dc=com" -s sub "uid=boyle"时,它将仅返回“ boyle”信息
编辑2:
当用户以无人身份回来时,我使用记录器来获取此错误
Caught LDAPError while authenticating tesla: CONNECT_ERROR({'desc': 'Connect error', 'info': 'error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed (self signed certificate in certificate chain)'},)
答案 0 :(得分:1)
您似乎没有使用正确的服务器主机名。
ldap://ldap.forumsys:389应该是:ldap://ldap.forumsys.com:389
使用ldapsearch之类的ldap搜索工具可以帮助验证服务器是否正确响应:
$ ldapsearch -LLL -h ldap.forumsys -p 389 -D 'cn=read-only-admin,dc=example,dc=com'
-w password -b 'ou=mathematicians,dc=example,dc=com' -s sub "(objectclass=*)"
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
$ ldapsearch -LLL -h ldap.forumsys.com -p 389 -D 'cn=read-only-
admin,dc=example,dc=com' -w password -b 'ou=mathematicians,dc=example,dc=com'
-s sub "(objectclass=*)"
dn: ou=mathematicians,dc=example,dc=com
uniqueMember: uid=euclid,dc=example,dc=com
uniqueMember: uid=riemann,dc=example,dc=com
uniqueMember: uid=euler,dc=example,dc=com
uniqueMember: uid=gauss,dc=example,dc=com
uniqueMember: uid=test,dc=example,dc=com
ou: mathematicians
cn: Mathematicians
objectClass: groupOfUniqueNames
objectClass: top
如果您找回数据,则意味着它正在寻找用户。结果:0成功仅表示ldap服务器能够成功搜索该树。
看起来Django模块具有两种验证用户身份的方法。您配置的设置首先尝试(通过uid)查找记录,然后使用找到的DN,再次(再次)使用提供的密码进行绑定。例如,它将搜索(uid=boyle),然后找到DN:uid=boyle,dc=example,dc=com。然后它将通过登录页面提供的DN:uid=boyle,dc=example,dc=com,password绑定到LDAP服务器。
对以上“编辑2”的响应:
以下错误表示该库正在尝试协商TLS连接:
Caught LDAPError while authenticating tesla: CONNECT_ERROR({'desc':
'Connect error', 'info': 'error:14090086:SSL
routines:ssl3_get_server_certificate:certificate verify failed (self
signed certificate in certificate chain)'},)
如果要在端口389(ldap://)上连接到ldap,则不应该协商TLS,可以通过以下方式将其禁用:
AUTH_LDAP_START_TLS = False
在settings.py中。
出于安全原因,使用ldaps并通过AUTH_LDAP_CONNECTION_OPTIONS字典配置TLS选项是个好主意。