【原创】Django-auth-ldap 配置方法

使用场景

公司内部使用Django作为后端服务框架的Web服务，当需要使用公司内部搭建的Ldap 或者 Windows 的AD服务器作为Web登录认证系统时，就需要这个Django-auth-ldap第三方插件

插件介绍

Django-auth-ldap是一个Django身份验证后端，可以针对LDAP服务进行身份验证。有许多丰富的配置选项可用于处理用户，组和权限，便于对页面和后台的控制 插件介绍地址：Django-auth-ldap

安装方法

注意：需先正确安装python3环境、pip3 和 Django环境

前提： 需要先安装python-ldap > = 3.0 第一步：安装Django-auth-ldap

pip install django-auth-ldap
第二步：在setting.py中配置django-auth-ldap 模块

要在Django项目中使用auth认证，请将django_auth_ldap.backend.LDAPBackend添加 到AUTHENTICATION_BACKENDS。不要向INSTALLED_APPS添加任何内容。 添加完效果如下：

AUTHENTICATION_BACKENDS = [
'django_auth_ldap.backend.LDAPBackend' ，
]
第三步：在django项目的settings.py中配置如下代码：

django-auth-ldap

Python

#Django-auth-ldap 配置部分 import ldap from django_auth_ldap.config import LDAPSearch,GroupOfNamesType #修改Django认证先走ldap，再走本地认证 AUTHENTICATION_BACKENDS = [ 'django_auth_ldap.backend.LDAPBackend', 'django.contrib.auth.backends.ModelBackend', ] #ldap的连接基础配置 AUTH_LDAP_SERVER_URI = "ldap://xxx.xxx.xxx.xxx:389" # ldap or ad 服务器地址 AUTH_LDAP_BIND_DN = "CN=administrator,CN=Users,DC=test,DC=com" # 管理员的dn路径 AUTH_LDAP_BIND_PASSWORD = 'testpassword' # 管理员密码 #允许认证用户的路径 AUTH_LDAP_USER_SEARCH = LDAPSearch("OU=test,DC=test,DC=intra", ldap.SCOPE_SUBTREE, "(sAMAccountName=%(user)s)") #通过组进行权限控制 AUTH_LDAP_GROUP_SEARCH = LDAPSearch("ou=groups,ou=test,dc=test,dc=intra", ldap.SCOPE_SUBTREE, "(objectClass=groupOfNames)" ) AUTH_LDAP_GROUP_TYPE = GroupOfNamesType() #is_staff:这个组里的成员可以登录；is_superuser:组成员是django admin的超级管理员；is_active:组成员可以登录django admin后台，但是无权限查看后台内容 AUTH_LDAP_USER_FLAGS_BY_GROUP = { "is_staff": "cn=test_users,ou=groups,OU=test,DC=test,DC=com", "is_superuser": "cn=test_users,ou=groups,OU=tset,DC=test,DC=com", } #通过组进行权限控制end #如果ldap服务器是Windows的AD，需要配置上如下选项 AUTH_LDAP_CONNECTION_OPTIONS = { ldap.OPT_DEBUG_LEVEL: 1, ldap.OPT_REFERRALS: 0, } #当ldap用户登录时，从ldap的用户属性对应写到django的user数据库，键为django的属性，值为ldap用户的属性 AUTH_LDAP_USER_ATTR_MAP = { "first_name": "givenName", "last_name": "sn", "email": "mail" } #如果为True，每次组成员都从ldap重新获取，保证组成员的实时性；反之会对组成员进行缓存，提升性能，但是降低实时性 # AUTH_LDAP_FIND_GROUP_PERMS = True

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48

#Django-auth-ldap 配置部分 import ldap from django_auth_ldap . config import LDAPSearch , GroupOfNamesType   #修改Django认证先走ldap，再走本地认证 AUTHENTICATION_BACKENDS = [      'django_auth_ldap.backend.LDAPBackend' ,      'django.contrib.auth.backends.ModelBackend' , ]   #ldap的连接基础配置 AUTH_LDAP_SERVER_URI = "ldap://xxx.xxx.xxx.xxx:389" # ldap or ad 服务器地址 AUTH_LDAP_BIND_DN = "CN=administrator,CN=Users,DC=test,DC=com" # 管理员的dn路径 AUTH_LDAP_BIND_PASSWORD = 'testpassword' # 管理员密码   #允许认证用户的路径 AUTH_LDAP_USER_SEARCH = LDAPSearch ( "OU=test,DC=test,DC=intra" ,                                    ldap . SCOPE_SUBTREE , "(sAMAccountName=%(user)s)" )   #通过组进行权限控制 AUTH_LDAP_GROUP_SEARCH = LDAPSearch ( "ou=groups,ou=test,dc=test,dc=intra" ,      ldap . SCOPE_SUBTREE , "(objectClass=groupOfNames)" )   AUTH_LDAP_GROUP_TYPE = GroupOfNamesType ( )   #is_staff:这个组里的成员可以登录；is_superuser:组成员是django admin的超级管理员；is_active:组成员可以登录django admin后台，但是无权限查看后台内容 AUTH_LDAP_USER_FLAGS_BY_GROUP = {      "is_staff" : "cn=test_users,ou=groups,OU=test,DC=test,DC=com" ,      "is_superuser" : "cn=test_users,ou=groups,OU=tset,DC=test,DC=com" , } #通过组进行权限控制end   #如果ldap服务器是Windows的AD，需要配置上如下选项 AUTH_LDAP_CONNECTION_OPTIONS = {      ldap . OPT_DEBUG_LEVEL : 1 ,      ldap . OPT_REFERRALS : 0 , }   #当ldap用户登录时，从ldap的用户属性对应写到django的user数据库，键为django的属性，值为ldap用户的属性 AUTH_LDAP_USER_ATTR_MAP = {      "first_name" : "givenName" ,      "last_name" : "sn" ,      "email" : "mail" }   #如果为True，每次组成员都从ldap重新获取，保证组成员的实时性；反之会对组成员进行缓存，提升性能，但是降低实时性 # AUTH_LDAP_FIND_GROUP_PERMS = True

 

以上配置完毕后，登录服务器后台地址：http://serverurl:8080/admin 使用ldap or ad中指定的group里的用户进行登录认证。