Python通过ldap3操作LDAP账号

已于 2023-10-26 14:35:59 修改
阅读量1k 收藏 2
点赞数 1
分类专栏: Python 运维 文章标签: python LDAP
于 2023-10-26 14:17:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25854057/article/details/134050306
版权

本次操作服务为 OpenLDAP,虽然有控制台界面化去操作,但是要实现自动化操作的我们就可以借助ldap3模块,这是一个严格遵守 RFC 4510 规范,完全由纯 Python 代码实现的 LDAPv3 客户端。直接使用 pip 命令安装即可(pip install ldap3

一、连接服务器

>>> from ldap3 import Server, Connection, ALL
>>> server = Server('10.10.1.10', get_info=ALL)
>>> conn = Connection(server, 'cn=admin,dc=xxx,dc=xxx', 'xxx', auto_bind=True)
# 获取服务器信息
>>> server.info

通常在对域账号进行修改等操作时,需要启用 SSL 连接以符合安全规范。

>>> server = Server('10.10.1.10', port=636, use_ssl=True, get_info=ALL)

二、对象检索

>>> from ldap3 import Server, Connection, ALL
>>> server = Server('10.10.1.10', get_info=ALL)
>>> conn = Connection(server, 'cn=admin,dc=xxx,dc=xxx', 'xxx', auto_bind=True)

>>> conn.search('dc=xxx,dc=xx', '(objectclass=person)'
>>> print(conn.entries)
[DN: cn=xxx,cn=行政一组,cn=行政组,cn=人事行政部,ou=职能中心,ou=深圳,dc=zen-game,dc=cn - STATUS: Read - READ TIME: 2023-10-26T11:11:45.714743

search 方法有两个参数是必需的:

search_base 用于指定搜索的起始位置,DN
search_filter 用于指定搜索的筛选条件
filter 的定义语法支持 =<=>= 等比较运算符和 &|! 等逻辑运算符。如:
(&(cn=John)(mail=*@example.com)) 表示寻找名字为 John 且邮箱以 @example.com 结尾的域账号。

以下搜索条件则表示寻找名字为 tonyJohn,并且邮箱以 @example.com 结尾的域账号:

(&
    (|
        (cn=tony)
        (cn=John)
    )
    (mail=*@example.com)
)

可选参数 attributes

>>> conn.search('cn=行政一组,cn=行政组,cn=人事行政部,ou=职能中心,ou=深圳,dc=xxx,dc=xx',  '(&(objectclass=person)(uid=xxx))', attributes=['gidNumber','uid']) 
True
>>> conn.result  
{'result': 0, 'description': 'success', 'dn': '', 'message': '', 'referrals': None, 'type': 'searchResDone'}
>>> print(conn.entries)                                                                       
[DN: cn=xx,cn=行政一组,cn=行政组,cn=人事行政部,ou=职能中心,ou=深圳,dc=zen-game,dc=cn - STATUS: Read - READ TIME: 2023-10-26T11:37:23.398826
    gidNumber: 1816016457
    cn: xxx
]

  • 判断查询有无可以根据返回结果 Trueconn.result 执行结果来判断

  • (&(objectclass=person)(uid=xxx) 用于指定查找对象类型为 personuidxxx 的用户账号; attributes 参数则用于指定搜索结果中额外包含该账户的 gidNumbercn 属性。

  • 设置 attributes = ['*'] 可以在搜索结果中显示对象的所有属性。

  • 可以使用 Entry 对象的 entry_to_json 方法将该对象的所有属性以 JSON 格式输出:

>>> print(conn.entries[0].entry_to_json())
{
    "attributes": {
        "gidNumber": [
            1816016457
        ],
        "uid": [
            "summer"
        ]
    },
    "dn": "cn=\u6f58\u84c9,cn=\u884c\u653f\u4e00\u7ec5,cn=\u884c\u653f\u7ec4,cn=\u4eba\u4e8b\u884c\u653f\u90e8,ou=\u804c\u80fd\u4e2d\u5fc3,ou=\u6df1\u5733,dc=zen-game,dc=cn"
}

此外还可以使用 paged_size 参数控制每页显示的结果数量。综合实例如下:

>>> conn.search('cn=行政一组,cn=行政组,cn=人事行政部,ou=职能中心,ou=深圳,dc=zen-game,dc=cn',  '(&(objectclass=person)(uid=xxx))', attributes=['gidNumber','uid'],paged_size=3) 
True

三、更新操作

1. 创建条目

创建用户

>>> dnFullInfo="cn=xxx,cn=行政组,cn=人事行政部,ou=职能中心,ou=深圳,dc=example,dc=com"
>>> userAttr = {
	"uid": uid,
	"cn": cn,
	"sn": uid,
	"objectClass": ["top", "posixAccount", "inetOrgPerson", "shadowAccount", "sambaSamAccount"],
	"mail": uid + "@example.com",
	"shadowWarning": 8,
	"userPassword": 111,
	"uidNumber": 111,
	"gidNumber": 111,
	"homeDirectory": "/home/user/" + uid,
	"loginShell": "/usr/sbin/nologin"
}
>>> conn.add(dnFullInfo, 'inetOrgPerson', userAttr)
>>> True      # 判断这个验证成功还是失败,或者 conn.result 会输出具体信息

创建组

>>> dnFullInfo="cn=行政组,cn=人事行政部,ou=职能中心,ou=深圳,dc=example,dc=com"
>>> groupAttr = {"objectClass": ["posixGroup", "top"], "gidNumber": 111}
>>> conn.add(dnFullInfo, 'posixGroup', groupAttr)
>>> True      # 判断这个验证成功还是失败,或者 conn.result 会输出具体信息

2. 修改属性

将【运维组】的gidNumber参数值改为 613

>>> from ldap3 import MODIFY_ADD, MODIFY_REPLACE, MODIFY_DELETE
>>> conn.modify('cn=运维组,cn=发行平台部,ou=发行系统,ou=深圳,dc=xxx,dc=xxx', {'gidNumber': [(MODIFY_REPLACE, [613])]})
>>> True

3. 组重命名

将【运维组】重命名为【运维组222】

>>> from ldap3 import MODIFY_ADD, MODIFY_REPLACE, MODIFY_DELETE
conn.modify_dn("cn=运维组,cn=发行平台部,ou=发行系统,ou=深圳,dc=xxx,dc=xxx", "cn=运维组222")  # 目标RDN(相对路径),用于重命名
>>> True

4. 组移动

将【运维组222】移动到【发行平台部 \ IT组 】下面
格式:源,目的末级名称,目的组织结构,这个移动会携带下面的组成员一块移动

>>> from ldap3 import MODIFY_ADD, MODIFY_REPLACE, MODIFY_DELETE
>>> conn.modify_dn("cn=运维组222,cn=发行平台部,ou=发行系统,ou=深圳,dc=xxx,dc=xxx", 'cn=运维组', new_superior='cn=IT组,cn=发行平台部,ou=发行系统,ou=深圳,dc=xxx,dc=xxx"')
>>> True
>>> print(conn.result)

5. 用户移动

将【tony】用户从运维组移动到【IT组】

>>> from ldap3 import MODIFY_ADD, MODIFY_REPLACE, MODIFY_DELETE
>>> conn.modify_dn("cn=tony,cn=运维组,cn=发行平台部,ou=发行系统,ou=深圳,dc=xxx,dc=xxx", 'cn=tony', new_superior='cn=IT组,cn=发行平台部,ou=发行系统,ou=深圳,dc=xxx,dc=xxx')
>>> True
>>> print(conn.result)

6. 添加用户属性

将【运维组】【memberUid】 属性加 【tony】用户

>>> from ldap3 import MODIFY_ADD, MODIFY_REPLACE, MODIFY_DELETE
>>> conn.modify('cn=运维组,cn=发行平台部,ou=发行系统,ou=深圳,dc=zen-game,dc=cn', {'memberUid': [(MODIFY_ADD, ['tony'])]})
>>> True
>>> print(conn.result)

7. 删除用户或组

>>> conn.delete('cn=运维组,cn=发行平台部,ou=发行系统,ou=深圳,dc=zen-game,dc=cn')
>>> True
>>> print(conn.result)

Reference:
https://ldap3.readthedocs.io/en/latest/
https://github.com/cannatag/ldap3
https://www.jianshu.com/p/07c4d20ae71c

小王格子
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用Python读取Ldap中的用户名
04-13
使用Python读取Ldap用户名。使用Python语言。 设置时只需修改主机名与Ldap相关属性即可。
Python LDAP3 操作 LDAP 实现增删改查
老实人的博客
06-11 5186
在介绍具体实现之前先啰嗦几句,很多运维朋友或正在使用 LDAP 的朋友来说,有很多场景需要对 LDAP 进行操作,比如:员工离职、员工更换部门、提升员工相应权限等。诸如以上的的操作都需要操作 LDAP 来实现,那么有几种办法来试下呢? 第一种:使用原始的ldap命令如 ldappadd、ldapsearch、ldapdelete、ldappasswd、ldapmodify等来操作。 第二种:使用 LDAP 客户端来操作,Windows 自带管理软件或者其他,Mac 使用ApacheDirectorystud
探索LDAP3:强大的Python LDAP
最新发布
gitblog_00014的博客
04-11 314
探索LDAP3:强大的Python LDAP库 项目地址:https://gitcode.com/cannatag/ldap3 LDAP3 是一个全面、现代且易于使用的Python库,用于与Lightweight Directory Access Protocol(轻量级目录访问协议)服务器进行交互。这个项目由Cannata TAG开发并维护,为开发者提供了一种高效、安全的方式来管理和查询目录服务...
使用python ldap3对接微软AD
hwe_govern的博客
06-15 1264
python使用ldap3操作AD
AD域建设管理(二)| python3+ldap3管理AD域实践(批量创建OU、用户、改密码、更新OU与用户)
热门推荐
本博客暂停使用
04-03 1万+
AD域建设管理(二)| python3+ldap3管理AD域实践(批量创建OU、用户、改密码)
Python使用ldap3操作微软AD
weixin_34242331的博客
06-29 1874
对于client连接ldap server的策略,ldap3提供了4种选择,可以通过client_strategy设置Connection object应用哪种策略:l SYNCl ASYNCl RESTARTABLEl REUSABLE同步策略(SYNC, RESTARTABLE),所有的ldap操作返回True/False异步策略(ASYNC, REUSABLE)...
python-ldap:适用于PythonLDAP客户端API
04-30
python-ldap:适用于PythonLDAP客户端API 什么是python-ldappython-ldap提供了一个面向对象的API,可以从Python程序访问LDAP目录服务器。 为此,它主要包装OpenLDAP客户端库。 此外,该软件包还包含用于其他与LDAP相关的内容的模块(例如,处理LDIF,LDAPURL,LDAPv3子模式等)。 不包括:直接BER支持 有关版本兼容性,请参阅INSTALL 有关计划的功能,请参见TODO。 欢迎贡献者。 有关模块文档,请参见: 快速用法示例: import ldap l = ldap . initialize ( "ldap://my_ldap_server.my_domain" ) l . simple_bind_s ( "" , "" ) l . search_s ( "o=My Organisation, c=A
Python对接LDAP/AD的过程详解
咖啡花园
02-14 5029
不同公司的 LDAP/AD 服务配置各不相同,很难封装一个通用的方法,所以我们在对接 LDAP/AD 的过程中,需要了解自己公司的 LDAP/AD 服务配置是怎么样的,才能写出正确的对接代码,因此下面将拆解过程并提供相关的文档地址。信息去验证用户的密码是否正确,如果密码正确,就和前面公用账号登录一样可以获取用户信息。到这一步的时候,可以询问 LDAP 服务器当前连接用户是谁?更多具体的情况,就需要实际对接公司的 LDAP/AD 服务时,才会遇到了。不管是那种格式,信息本身的内容是一样的。
使用Pythonldap3进行LDAP开发
很酷的站长的博客
10-21 1331
Pythonldap3是Python 3的LDAP接口库,Pythonldap3实现了RFC4511定义的LDAP协议的所有操作和功能,它具有易学易用、高性能的特点,能够轻松地连接LDAP服务和对LDAP目录执行增、删、改、查等操作
python-ldap模块
weixin_42176112的博客
03-06 3889
文章目录 Python语言提供的Python-Ldap框架,来操作和管理AD/LDAP中的用户,组织结构等,希望对大家有所帮助 pip install python-ldap
LDAP服务搭建,phpLDAPadmin+python管理服务
seanyang_的博客
10-31 1379
LDAP(Lightweight Directory Access Protocol)是一种轻量级的目录访问协议。它最初是用于在 TCP/IP 网络上访问 X.500 目录服务,但由于其简单和高效的特点,现在广泛应用于企业、组织等系统中的身份验证、授权、信息管理等方面。LDAP 的主要作用是在目录中查找和修改信息。目录可以视为一个包含了关于人员、组织、设备等信息的数据库**(可以理解为企业微信中的通讯录,就是一个树的结构)**。
修改ad域密码及新增账号demo.zip
11-07
java操作ldap修改ad密码,新增ad账号,一个较为简单的demo,供大家学习参考。
ldap3:严格符合RFC 4510的LDAP V3纯Python客户端。 相同的代码库适用于Python2。Python3,PyPy和PyPy3
05-07
LDAP3 ldap3是严格符合RFC 4510的LDAP V3纯Python客户端库。 相同的代码库在Python 2,Python 3,PyPy和PyPy3中运行。 更加Python化的LDAP LDAP操作看起来笨拙且难以使用,因为它们反映了一种古老的思想,即耗时的操作应在客户端执行,而不用繁琐的工作来浪费服务器。 为了减轻这种负担,ldap3包括一个功能齐全的抽象层,可让您以现代的Python方式与LDAP服务器进行交互。 使用抽象层,您根本不需要直接发出任何LDAP操作。 线程安全策略 在多线程程序中,必须使用SAFE_SYNC (同步连接策略), SAFE_RESTARTABLE (可重新启动的同步连接策略)或ASYNC (异步连接策略)中的一种。 每个使用SAFE_SYNC或SAFE_RESTARTABLE策略的LDAP操作都返回一个由四个元素组成的元组:状态,结果,
python-ldap-2.4.10.win32-py2.7.msi
04-07
ldap协议库,功能十分强大,当前版本python2.7
Ldap数据导出到文件
06-30
ldap数据的某个节点下的所有数据进行导出到文件
python域验证资料
11-09
python域验证资料以及LDAP学习教程
Python的Django框架与认证系统整合的方法
01-20
如果用户在LDAP和基于Django的应用上拥有独立的账号,那么这时无论对于网络管理员还是用户自己来说,都是一件很令人头痛的事儿。 为了解决这样的问题,Django认证系统能让您以插件方式与其他认证资源进行交互。 您...
拿来即用的 Python LDAP 实现类
咖啡花园
12-08 937
一个拿来即用的 Python LDAP 实现类,相关配置通过读取环境变量获取: LDAP_SERVER_HOST = [LDAP服务器IP: 127.0.0.1] LDAP_SEARCH_BASE = [LDAP搜索配置: OU=OU,DC=DC,DC=LOCAL] LDAP_USERNAME = [LDAP连接账户: [email protected]] LDAP_PASSWORD = [LDAP连接密码] 快速调用方法如下: def ldap_user_auth(username, password):
Python3.6实现ldap的登录验证
yangwenjie12的博客
04-24 6997
python3通过ldap3库来处理ldap。至于怎么安装ldap3,就不作赘述了。 查过很多资料也看过官网文档,可能英文的还是没看透彻,解决问题后再去看官网,竟然透彻了很多,走过很多弯路,现在将解决方法加代码解说一下。 1.先附一下我用到的ldap结构图,个人根据自己的结构或属性不同,可对应更改相应字段。 如图所示,我的 ldap的基本搜索入口就是'dc=***,dc=com',也就...
python ldap3实现域登录
06-07
使用 Pythonldap3 库可以方便地实现域登录。以下是一个简单的示例代码,可以将其用作参考: ```python from ldap3 import Server, Connection, SIMPLE, SYNC, SUBTREE # 配置 LDAP 服务器信息 server = Server('ldap://your_ldap_server_domain_or_ip', get_info=SYNC) # 绑定 LDAP 服务器 with Connection(server, user='your_ldap_user', password='your_ldap_password', authentication=SIMPLE) as conn: # 搜索用户 conn.search('dc=your,dc=domain,dc=com', '(sAMAccountName=your_username)', search_scope=SUBTREE) # 获取第一个匹配的用户 DN user_dn = conn.entries[0].entry_dn # 使用用户 DN 和密码进行身份验证 with Connection(server, user=user_dn, password='your_password', authentication=SIMPLE) as conn: # 验证是否成功 if conn.bind(): print("登录成功!") else: print("登录失败!") ``` 以上代码中,需要将 `your_ldap_server_domain_or_ip` 替换为您的 LDAP 服务器的域名或 IP 地址,`your_ldap_user` 和 `your_ldap_password` 替换为您的 LDAP 管理员账号和密码,`dc=your,dc=domain,dc=com` 替换为您的 LDAP 域的 DN(Distinguished Name,即区分名称),`your_username` 替换为您要登录的用户名,`your_password` 替换为该用户的密码。 该代码通过 LDAP 搜索功能查找用户的 DN,并使用该 DN 进行身份验证。如果身份验证成功,则表示登录成功。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值