前一篇文章我们讲解了Ldap3库的连接AD服务器的方法:Ldap3库使用方法(三)
今天给大家讲解如何使用Ldap3 库更新AD中用户和部门(OU)属性,含重命名操作和移动部门方法
#!/usr/bin/env python # -*- coding: utf-8 -*- import json from ldap3 import ALL_ATTRIBUTES # 注意:ldap3库如果要使用tls(安全连接),需要ad服务先安装并配置好证书服务,才能通过tls连接,否则连接测试时会报LDAPSocketOpenError('unable to open socket' # 如果是进行账号密码修改及账户激活时,会报错:“WILL_NOT_PERFORM” from ldap3 import Connection, NTLM, Server from ldap3 import MODIFY_REPLACE server1 = Server("adtest.com", port=636, use_ssl=True, get_info=ALL, connect_timeout=5) LDAP_SERVER_POOL = [server1] SERVER_USER = 'adtest\\administrator' SERVER_PASSWORD = "XXXXXXX" class AD(object): ''' AD用户操作 ''' def __init__(self): '''初始化''' self.conn = Connection( #配置服务器连接参数 server=LDAP_SERVER_POOL, auto_bind=True, authentication=NTLM, #连接Windows AD需要配置此项 read_only=False, #禁止修改数据:True user=SERVER_USER,#管理员账户 password=SERVER_PASSWORD, ) self.leaved_base_dn = 'ou=Leaved,dc=adtest,dc=intra'#离职账户所在OU self.active_base_dn = 'ou=测试部门,dc=adtest,dc=intra'#正式员工账户所在OU self.search_filter = '(objectclass=user)'#只获取【用户】对象 self.ou_search_filter = '(objectclass=organizationalUnit)'#只获取【OU】对象 def update_obj(self, dn, attr): '''更新员工 or 部门属性 先比较每个属性值,是否和AD中的属性一致,不一样的记录,统一update 注意: 1. attr中dn属性写在最后 2. 如果name属性不一样的话,需要先变更名字(实际是变更原始dn为新name的DN),后续继续操作update and move_object User 的 attr 照如下格式写: dn = "cn=test4,ou=IT组,dc=adtest,dc=com" #需要移动的User的原始路径 {#updateUser需要更新的属性表 "Sn": "李", # 姓 "telephoneNumber": "12345678944", "mobile": "12345678944", "Displayname": "张三3", "Manager":"CN=李四,OU=人事部,DC=adtest,DC=com",#需要使用用户的DN路径 'DistinguishedName':"cn=张三,ou=IT组,dc=adtest,dc=com" #用户需要移动部门时,提供此属性,否则不提供 } OU 的 attr 格式如下: dn = "ou=人事部,dc=adtest,dc=com" #更新前OU的原始路径 attr = { 'name':'人事部', 'managedBy':"CN=张三,OU=IT组,DC=adtest,DC=com", 'DistinguishedName': "ou=人事部,dc=adtest,dc=com" # 更新后的部门完整路径 } ''' changes_dic = {} for k,v in attr.items(): if not self.conn.compare(dn=dn,attribute=k,value=v): if k == "name": res = self.__rename_obj(dn=dn,newname=attr['name']) # 改过名字后,DN就变了,这里调用重命名的方法 if res['description'] == "success": if "CN" == dn[:2]: dn = "cn=%s,%s" % (attr["name"], dn.split(",", 1)[1]) if "OU" == dn[:2]: dn = "DN=%s,%s" % (attr["name"], dn.split(",", 1)[1]) if k == "DistinguishedName": # 如果属性里有“DistinguishedName”,表示需要移动User or OU self.__move_object(dn=dn,new_dn=v) # 调用移动User or OU 的方法 changes_dic.update({k:[(MODIFY_REPLACE,[v])]}) self.conn.modify(dn=dn,changes=changes_dic) return self.conn.result def __rename_obj(self,dn,newname): ''' OU or User 重命名方法 :param dn:需要修改的object的完整dn路径 :param newname: 新的名字,User格式:"cn=新名字";OU格式:"OU=新名字" :return:返回中有:'description': 'success', 表示操作成功 {'result': 0, 'description': 'success', 'dn': '', 'message': '', 'referrals': None, 'type': 'modDNResponse'} ''' self.conn.modify_dn(dn,newname) return self.conn.result def compare_attr(self,dn,attr,value): '''比较员工指定的某个属性 ''' res = self.conn.compare(dn=dn,attribute=attr,value=value) return res def __move_object(self,dn,new_dn): '''移动员工 or 部门到新部门''' relative_dn,superou = new_dn.split(",",1) res = self.conn.modify_dn(dn=dn,relative_dn=relative_dn,new_superior=superou) return res
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
|
#!/usr/bin/env python
# -*- coding: utf-8 -*-
import
json
from
ldap3
import
ALL_ATTRIBUTES
# 注意:ldap3库如果要使用tls(安全连接),需要ad服务先安装并配置好证书服务,才能通过tls连接,否则连接测试时会报LDAPSocketOpenError('unable to open socket'
# 如果是进行账号密码修改及账户激活时,会报错:“WILL_NOT_PERFORM”
from
ldap3
import
Connection
,
NTLM
,
Server
from
ldap3
import
MODIFY_REPLACE
server1
=
Server
(
"adtest.com"
,
port
=
636
,
use_ssl
=
True
,
get_info
=
ALL
,
connect_timeout
=
5
)
LDAP_SERVER_POOL
=
[
server1
]
SERVER_USER
=
'adtest\\administrator'
SERVER_PASSWORD
=
"XXXXXXX"
class
AD
(
object
)
:
''' AD用户操作 '''
def
__init__
(
self
)
:
'''初始化'''
self
.
conn
=
Connection
(
#配置服务器连接参数
server
=
LDAP_SERVER_POOL
,
auto_bind
=
True
,
authentication
=
NTLM
,
#连接Windows AD需要配置此项
read_only
=
False
,
#禁止修改数据:True
user
=
SERVER_USER
,
#管理员账户
password
=
SERVER_PASSWORD
,
)
self
.
leaved_base_dn
=
'ou=Leaved,dc=adtest,dc=intra'
#离职账户所在OU
self
.
active_base_dn
=
'ou=测试部门,dc=adtest,dc=intra'
#正式员工账户所在OU
self
.
search_filter
=
'(objectclass=user)'
#只获取【用户】对象
self
.
ou_search_filter
=
'(objectclass=organizationalUnit)'
#只获取【OU】对象
def
update_obj
(
self
,
dn
,
attr
)
:
'''更新员工 or 部门属性
先比较每个属性值,是否和AD中的属性一致,不一样的记录,统一update
注意:
1. attr中dn属性写在最后
2. 如果name属性不一样的话,需要先变更名字(实际是变更原始dn为新name的DN),后续继续操作update and move_object
User 的 attr 照如下格式写:
dn = "cn=test4,ou=IT组,dc=adtest,dc=com" #需要移动的User的原始路径
{#updateUser需要更新的属性表
"Sn": "李", # 姓
"telephoneNumber": "12345678944",
"mobile": "12345678944",
"Displayname": "张三3",
"Manager":"CN=李四,OU=人事部,DC=adtest,DC=com",#需要使用用户的DN路径
'DistinguishedName':"cn=张三,ou=IT组,dc=adtest,dc=com" #用户需要移动部门时,提供此属性,否则不提供
}
OU 的 attr 格式如下:
dn = "ou=人事部,dc=adtest,dc=com" #更新前OU的原始路径
attr = {
'name':'人事部',
'managedBy':"CN=张三,OU=IT组,DC=adtest,DC=com",
'DistinguishedName': "ou=人事部,dc=adtest,dc=com" # 更新后的部门完整路径
}
'''
changes_dic
=
{
}
for
k
,
v
in
attr
.
items
(
)
:
if
not
self
.
conn
.
compare
(
dn
=
dn
,
attribute
=
k
,
value
=
v
)
:
if
k
==
"name"
:
res
=
self
.
__rename_obj
(
dn
=
dn
,
newname
=
attr
[
'name'
]
)
# 改过名字后,DN就变了,这里调用重命名的方法
if
res
[
'description'
]
==
"success"
:
if
"CN"
==
dn
[
:
2
]
:
dn
=
"cn=%s,%s"
%
(
attr
[
"name"
]
,
dn
.
split
(
","
,
1
)
[
1
]
)
if
"OU"
==
dn
[
:
2
]
:
dn
=
"DN=%s,%s"
%
(
attr
[
"name"
]
,
dn
.
split
(
","
,
1
)
[
1
]
)
if
k
==
"DistinguishedName"
:
# 如果属性里有“DistinguishedName”,表示需要移动User or OU
self
.
__move_object
(
dn
=
dn
,
new_dn
=
v
)
# 调用移动User or OU 的方法
changes_dic
.
update
(
{
k
:
[
(
MODIFY_REPLACE
,
[
v
]
)
]
}
)
self
.
conn
.
modify
(
dn
=
dn
,
changes
=
changes_dic
)
return
self
.
conn
.
result
def
__rename_obj
(
self
,
dn
,
newname
)
:
'''
OU or User 重命名方法
:param dn:需要修改的object的完整dn路径
:param newname: 新的名字,User格式:"cn=新名字";OU格式:"OU=新名字"
:return:返回中有:'description': 'success', 表示操作成功
{'result': 0, 'description': 'success', 'dn': '', 'message': '', 'referrals': None, 'type': 'modDNResponse'}
'''
self
.
conn
.
modify_dn
(
dn
,
newname
)
return
self
.
conn
.
result
def
compare_attr
(
self
,
dn
,
attr
,
value
)
:
'''比较员工指定的某个属性
'''
res
=
self
.
conn
.
compare
(
dn
=
dn
,
attribute
=
attr
,
value
=
value
)
return
res
def
__move_object
(
self
,
dn
,
new_dn
)
:
'''移动员工 or 部门到新部门'''
relative_dn
,
superou
=
new_dn
.
split
(
","
,
1
)
res
=
self
.
conn
.
modify_dn
(
dn
=
dn
,
relative_dn
=
relative_dn
,
new_superior
=
superou
)
return
res
|
以上是Ldap3库对AD的User和OU新增的方法。具体的文档,可以参考官网文档:Ldap3 文档
以上的方法,大家主要查看【LDAP Operations】章节的内容。
欢迎大家访问我的博客:bigyong.cn
欢迎大家关注我的公众号: