如何使用Python连接ldap

好多使用ldap认证的软件都是Python的,比如superset和airflow, 好吧,他们都是airbnb家的。在配置ldap的时候可能会出现认证失败,你不知道是因为什么导致配置失败的。所以,就要

跟踪源码,看看内部怎么认证实现的。

ldap介绍和使用安装参见: https://www.cnblogs.com/woshimrf/p/ldap.html

登录的源码参见: https://github.com/apache/airflow/blob/70e937a8d8ff308a9fb9055ceb7ef2c034200b36/airflow/contrib/auth/backends/ldap_auth.py#L191

具体来实现如下:

为了模拟环境,我们使用docker-python。基于Debian Python3: https://github.com/Ryan-Miao/docker-china-source/tree/master/docker-python

启动

docker run -it ryan/python:3 /bin/bash

下载ldap3

pip install ldap3

测试连接

root@5edee218d962:/# python

Python 3.7.4 (default, Jul 13 2019, 14:20:24)

[GCC 6.3.0 20170516] on linux

Type "help", "copyright", "credits" or "license" for more information.

>>> from ldap3 import Server, Connection, ALL, NTLM, ALL_ATTRIBUTES, LEVEL, SUBTREE

>>> server = Server('172.17.0.2', get_info=ALL)

>>> conn = Connection(server, 'cn=admin,dc=demo,dc=com', 'admin', auto_bind=True)

>>> conn.extend.standard.who_am_i()

'dn:cn=admin,dc=demo,dc=com'

测试登录部分

登录源码如下:

@staticmethod

    def try_login(username, password):

        conn = get_ldap_connection(configuration.conf.get("ldap", "bind_user"),

                                   configuration.conf.get("ldap", "bind_password"))

        search_filter = "(&({0})({1}={2}))".format(

            configuration.conf.get("ldap", "user_filter"),

            configuration.conf.get("ldap", "user_name_attr"),

            username

        )

        search_scope = LEVEL

        if configuration.conf.has_option("ldap", "search_scope"):

            if configuration.conf.get("ldap", "search_scope") == "SUBTREE":

                search_scope = SUBTREE

            else:

                search_scope = LEVEL

        # todo: BASE or ONELEVEL?

        res = conn.search(configuration.conf.get("ldap", "basedn"), search_filter, search_scope=search_scope)

        # todo: use list or result?

        if not res:

            log.info("Cannot find user %s", username)

            raise AuthenticationError("Invalid username or password")

        entry = conn.response[0]

        conn.unbind()

        if 'dn' not in entry:

            # The search filter for the user did not return any values, so an

            # invalid user was used for credentials.

            raise AuthenticationError("Invalid username or password")

        try:

            conn = get_ldap_connection(entry['dn'], password)

        except KeyError:

            log.error("""

            Unable to parse LDAP structure. If you're using Active Directory

            and not specifying an OU, you must set search_scope=SUBTREE in airflow.cfg.

            %s

            """, traceback.format_exc())

            raise LdapException(

                "Could not parse LDAP structure. "

                "Try setting search_scope in airflow.cfg, or check logs"

            )

        if not conn:

            log.info("Password incorrect for user %s", username)

            raise AuthenticationError("Invalid username or password")

第一步: 获取连接

from ldap3 import Server, Connection, ALL, NTLM, ALL_ATTRIBUTES, LEVEL, SUBTREE

server = Server('172.17.0.2:389', get_info=ALL)

conn = Connection(server, 'cn=admin,dc=demo,dc=com', 'admin', auto_bind=True)

conn.extend.standard.who_am_i()

第二步: 根据filter search用户。 这里我们的配置文件如下:

[ldap]

# set this to ldaps://<your.ldap.server>:<port>

uri = ldap://172.17.0.2:389

user_filter = objectClass=inetOrgPerson

user_name_attr = sn

group_member_attr = memberOf

superuser_filter =

data_profiler_filter =

bind_user = cn=admin,dc=demo,dc=com

bind_password = admin

basedn = dc=demo,dc=com

cacert =

search_scope = SUBTREE

源码就是拼接filter, 最后变成(&(objectClass=inetOrgPerson)(sn=ryanmiao)), 然后search scope.



>>> with Connection(server, 'cn=admin,dc=demo,dc=com', 'admin') as conn:

...         conn.search('dc=demo,dc=com', '(&(objectClass=inetOrgPerson)(cn=hr-ryan))', search_scope=SUBTREE)

...         entry = conn.entries[0]

...

True

>>> entry

DN: cn=hr-ryan,ou=HR,ou=People,dc=demo,dc=com - STATUS: Read - READ TIME: 2019-08-19T12:58:34.966181

第三步: 从上一步得到dn,然后根据用户输入的密码,再次连接, 不抛异常就证明密码正确

>>> conn = Connection(server, 'cn=hr-ryan,ou=HR,ou=People,dc=demo,dc=com', '123456', auto_bind=True)

>>>

>>> conn = Connection(server, 'cn=hr-ryan,ou=HR,ou=People,dc=demo,dc=com', '1234567', auto_bind=True)

Traceback (most recent call last):

  File "<stdin>", line 1, in <module>

  File "/usr/local/lib/python3.7/site-packages/ldap3/core/connection.py", line 325, in __init__

    self.do_auto_bind()

  File "/usr/local/lib/python3.7/site-packages/ldap3/core/connection.py", line 353, in do_auto_bind

    raise LDAPBindError(self.last_error)

ldap3.core.exceptions.LDAPBindError: automatic bind not successful - invalidCredentials

测试分组

ldap提供了分组,配置见前文。我们采用ldap统一登录之后,还要把用户放入不同的group里来区分权限。比如splunk-users, splunk-admin, gitlab-admin, gitlab-user等。

根据用户名和密码,我们实现了用户登录密码验证,接下来需要取到用户所属于的group。

源码如下:



def groups_user(conn, search_base, user_filter, user_name_att, username):

    search_filter = "(&({0})({1}={2}))".format(user_filter, user_name_att, username)

    try:

        memberof_attr = configuration.conf.get("ldap", "group_member_attr")

    except Exception:

        memberof_attr = "memberOf"

    res = conn.search(search_base, search_filter, attributes=[memberof_attr])

    if not res:

        log.info("Cannot find user %s", username)

        raise AuthenticationError("Invalid username or password")

    if conn.response and memberof_attr not in conn.response[0]["attributes"]:

        log.warning("""Missing attribute "%s" when looked-up in Ldap database.

        The user does not seem to be a member of a group and therefore won't see any dag

        if the option filter_by_owner=True and owner_mode=ldapgroup are set""",

                    memberof_attr)

        return []

    user_groups = conn.response[0]["attributes"][memberof_attr]

    regex = re.compile("cn=([^,]*).*", re.IGNORECASE)

    groups_list = []

    try:

        groups_list = [regex.search(i).group(1) for i in user_groups]

    except IndexError:

        log.warning("Parsing error when retrieving the user's group(s)."

                    " Check if the user belongs to at least one group"

                    " or if the user's groups name do not contain special characters")

    return groups_list

同样,第一步,连接,第二步search,但需要返回字段memberof。注意我们前面配置了group_member_attr=memberof

>>> with Connection(server, 'cn=admin,dc=demo,dc=com', 'admin') as conn:

...         conn.search('dc=demo,dc=com', '(&(objectClass=inetOrgPerson)(sn=hr-ryan))', attributes=['memberof'])

...         entry = conn.entries[0]

...         entry

...

True

DN: cn=hr-ryan,ou=HR,ou=People,dc=demo,dc=com - STATUS: Read - READ TIME: 2019-08-19T13:05:20.592805

    memberOf: cn=g-admin,ou=Group,dc=demo,dc=com

              cn=g-users,ou=Group,dc=demo,dc=com

              cn=g-a,ou=Group,dc=demo,dc=com

如果取不到group会报错。

以上就差不多是airflow的ldap配置原理了。其他雷同,不一样的地方也许是在filter的地方,我们找对应软件的源码look一下就ok了。

如何使用Python连接ldap的更多相关文章

  1. python实现ldap接入

    需要提前安装python-ldap模块 python接入ldap其实分了几个步骤: 1.使用一个管理员账户登陆到ldap 2.使用一个字段值是唯一的字段,去搜索到要验证用户的DN值(ldap搜索到的单 ...

  2. 【初学python】使用python连接mysql数据查询结果并显示

    因为测试工作经常需要与后台数据库进行数据比较和统计,所以采用python编写连接数据库脚本方便测试,提高工作效率,脚本如下(python连接mysql需要引入第三方库MySQLdb,百度下载安装) # ...

  3. python连接mysql的驱动

    对于py2.7的朋友,直接可以用MySQLdb去连接,但是MySQLdb不支持python3.x.这是需要注意的~ 那应该用什么python连接mysql的驱动呢,在stackoverflow上有人解 ...

  4. paip. 解决php 以及 python 连接access无效的参数量。参数不足,期待是 1”的错误

    paip. 解决php 以及 python 连接access无效的参数量.参数不足,期待是 1"的错误 作者Attilax  艾龙,  EMAIL:1466519819@qq.com  来源 ...

  5. python 连接sql server

    linux 下pymssql模块的安装 所需压缩包:pymssql-2.1.0.tar.bz2freetds-patched.tar.gz 安装: tar -xvf pymssql-2.1.0.tar ...

  6. paip.python连接mysql最佳实践o4

    paip.python连接mysql最佳实践o4 python连接mysql 还使用了不少时间...,相比php困难多了..麻烦的.. 而php,就容易的多兰.. python标准库没mysql库,只 ...

  7. python连接字符串的方式

    发现Python连接字符串又是用的不顺手,影响速度 1.数字对字符进行拼接 s=""  #定义这个字符串,方便做连接 print type(s) for i in range(10 ...

  8. python连接zookeeper的日志问题

    用python连接zookeeper时,在终端里,一直会有zookeeper的日志冒出来,这样会很烦. -- ::,:(: Exceeded deadline by 11ms 解决方法是在连接后设置一 ...

  9. python 连接Mysql数据库

    1.下载http://dev.mysql.com/downloads/connector/python/ 由于Python安装的是3.4,所以需要下载下面的mysql-connector-python ...

随机推荐

  1. Centos7 安装jdk,MySQL

    报名立减200元.暑假直降6888. 邀请链接:http://www.jnshu.com/login/1/20535344 邀请码:20535344 学习阿里云平台的云服务器配置Java开发环境.我现 ...

  2. J2EE:Servlet上传文件到服务器,并相应显示

    Servlet 可以与HTML一起使用来允许用户上传文件到服务器 编辑上传文件的页面upload.html 注意事项:上传方式使用POST不能使用GET(GET不能上传文件) 表单 enctype 属 ...

  3. SSAS 多维/表格设计模型--事实表与维表的关联

    表格设计模型中,同多维设计模型相似, 维表和事实表相互独立,通过关系数据库中的外键来联系,互相关联构成一个统一的架构. DB中外键是需要唯一性约束的,即A表某列建立主键或者唯一键后,B表才可以引用为外 ...

  4. springboot快速入门02--Controller编写和测试

    02springboot快速入门--Controller编写和测试 1.新建一个HelloController import org.springframework.boot.SpringApplic ...

  5. python基础知识三 字典-dict + 菜中菜

    3.7字典:dict+菜中菜 1.简介 ​ 无序,可修改,用于存储数据,大量,比列表快,将数据和数据之间关联 ​ 定义:dict1 = {'cx':10,'liwenhu':80,'zhangyu': ...

  6. 通过代数,数字,欧几里得平面和分形讨论JavaScript中的函数式编程

    本文是对函数式编程范式的系列文章从而拉开了与以下延续一个. 介绍 在JavaScript中,函数只是对象.因此,可以构造函数,作为参数传递,从函数返回或分配给变量.因此,JavaScript具有一流的 ...

  7. 个人永久性免费-Excel催化剂功能第52波-相同内容批量合并单元格,取消合并单元格并填充内容

    在高级Excel用户群体中无比痛恨的合并单元格,在现实的表格中却阴魂不散的纠缠不断.今天Excel催化剂也来成为“帮凶”,制造更多的合并单元格.虽然开发出此功能,请使用过程中务必要保持节制,在可以称为 ...

  8. 十三、asp.net中Repeater控件用法笔记

    大家可能都对datagrid比较熟悉,但是如果在数据量大的时候,我们就得考虑使用 repeater作为我们的数据绑定控件了.Repeater控件与DataGrid (以及DataList)控件的主要区 ...

  9. python课堂整理2

    一.字节和编码 1个字节是8位二进制 utf-8 表示一个中文要用3个字节 gbk 为中国汉字发明,2个字节可表示汉字 所以 utf-8 可以读gbk编码,而gbk去读utf-8 的内容会乱码 uni ...

  10. C语言编程入门之--第二章编译环境搭建

    第二章 编译环境搭建 导读:C语言程序如何工作,首先需要编译链接成可执行文件,然后就可以运行在不同的环境中,这个“环境”的意思就是比如说,电脑,手机,路由器,蓝牙音箱等等智能设备中,其中编译器启到了关 ...