Django配置Windows AD域进行账户认证,此配置只能进行Django的admin 管理平台登录,前端登录页面需要单独开发,用到的插件有:django-auth-ldap,代码如下:
#Django-auth-ldap 配置部分 此部分代码配置在django的settings.py里 import ldap from django_auth_ldap.config import LDAPSearch,GroupOfNamesType #修改Django认证先走ldap,再走本地认证 AUTHENTICATION_BACKENDS = [ 'django_auth_ldap.backend.LDAPBackend', 'django.contrib.auth.backends.ModelBackend', ] #ldap的连接基础配置 AUTH_LDAP_SERVER_URI = "ldap://192.168.146.21:389" AUTH_LDAP_BIND_DN = "CN=administrator,CN=Users,DC=test,DC=com" AUTH_LDAP_BIND_PASSWORD = 'testpassword' #允许认证用户的路径 # AUTH_LDAP_USER_SEARCH = LDAPSearch("OU=test,DC=test,DC=com", ldap.SCOPE_SUBTREE, "(&(objectClass=person)(sAMAccountName=%(user)s))") AUTH_LDAP_USER_SEARCH = LDAPSearch("OU=test,DC=test,DC=intra", ldap.SCOPE_SUBTREE, "(sAMAccountName=%(user)s)") #通过组进行权限控制 AUTH_LDAP_GROUP_SEARCH = LDAPSearch("ou=groups,ou=test,dc=test,dc=intra", ldap.SCOPE_SUBTREE, "(objectClass=groupOfNames)" ) AUTH_LDAP_GROUP_TYPE = GroupOfNamesType() #is_staff:这个组里的成员可以登录;is_superuser:组成员是django admin的超级管理员;is_active:组成员可以登录django admin后天,无权限 AUTH_LDAP_USER_FLAGS_BY_GROUP = { "is_staff": "cn=test_users,ou=groups,OU=test,DC=test,DC=com", "is_superuser": "cn=test_users,ou=groups,OU=tset,DC=test,DC=com", } #通过组进行权限控制end #如果ldap服务器是Windows的AD,需要配置上如下选项 AUTH_LDAP_CONNECTION_OPTIONS = { ldap.OPT_DEBUG_LEVEL: 1, ldap.OPT_REFERRALS: 0, } #当ldap用户登录时,从ldap的用户属性对应写到django的user数据库,键为django的属性,值为ldap用户的属性 AUTH_LDAP_USER_ATTR_MAP = { "first_name": "givenName", "last_name": "sn", "email": "mail" } #如果为True,每次组成员都从ldap重新获取,保证组成员的实时性;反之会对组成员进行缓存,提升性能,但是降低实时性 # AUTH_LDAP_FIND_GROUP_PERMS = True
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
|
#Django-auth-ldap 配置部分 此部分代码配置在django的settings.py里
import
ldap
from
django_auth_ldap
.
config
import
LDAPSearch
,
GroupOfNamesType
#修改Django认证先走ldap,再走本地认证
AUTHENTICATION_BACKENDS
=
[
'django_auth_ldap.backend.LDAPBackend'
,
'django.contrib.auth.backends.ModelBackend'
,
]
#ldap的连接基础配置
AUTH_LDAP_SERVER_URI
=
"ldap://192.168.146.21:389"
AUTH_LDAP_BIND_DN
=
"CN=administrator,CN=Users,DC=test,DC=com"
AUTH_LDAP_BIND_PASSWORD
=
'testpassword'
#允许认证用户的路径
# AUTH_LDAP_USER_SEARCH = LDAPSearch("OU=test,DC=test,DC=com", ldap.SCOPE_SUBTREE, "(&(objectClass=person)(sAMAccountName=%(user)s))")
AUTH_LDAP_USER_SEARCH
=
LDAPSearch
(
"OU=test,DC=test,DC=intra"
,
ldap
.
SCOPE_SUBTREE
,
"(sAMAccountName=%(user)s)"
)
#通过组进行权限控制
AUTH_LDAP_GROUP_SEARCH
=
LDAPSearch
(
"ou=groups,ou=test,dc=test,dc=intra"
,
ldap
.
SCOPE_SUBTREE
,
"(objectClass=groupOfNames)"
)
AUTH_LDAP_GROUP_TYPE
=
GroupOfNamesType
(
)
#is_staff:这个组里的成员可以登录;is_superuser:组成员是django admin的超级管理员;is_active:组成员可以登录django admin后天,无权限
AUTH_LDAP_USER_FLAGS_BY_GROUP
=
{
"is_staff"
:
"cn=test_users,ou=groups,OU=test,DC=test,DC=com"
,
"is_superuser"
:
"cn=test_users,ou=groups,OU=tset,DC=test,DC=com"
,
}
#通过组进行权限控制end
#如果ldap服务器是Windows的AD,需要配置上如下选项
AUTH_LDAP_CONNECTION_OPTIONS
=
{
ldap
.
OPT_DEBUG_LEVEL
:
1
,
ldap
.
OPT_REFERRALS
:
0
,
}
#当ldap用户登录时,从ldap的用户属性对应写到django的user数据库,键为django的属性,值为ldap用户的属性
AUTH_LDAP_USER_ATTR_MAP
=
{
"first_name"
:
"givenName"
,
"last_name"
:
"sn"
,
"email"
:
"mail"
}
#如果为True,每次组成员都从ldap重新获取,保证组成员的实时性;反之会对组成员进行缓存,提升性能,但是降低实时性
# AUTH_LDAP_FIND_GROUP_PERMS = True
|
配置完成后,用户通过admin后台登录时,如果域用户不在指定的group中时,会提示登录失败,但是在auth_user用户表中,会有这个用户的属性,配置了superuser的可以登录后台,代码中配置的默认账号,可以直接登录admin后天,以管理员的身份登录。