Django 2.1.3 Аутентификация LDAP не аутентифицируется в бэкэнде - PullRequest
Новая
       10

Django 2.1.3 Аутентификация LDAP не аутентифицируется в бэкэнде

0 голосов
/ 15 ноября 2018

Я пытаюсь создать веб-приложение django (v2.1.3) с простой аутентификацией LDAP. Код работает, и я точно не знаю, почему он не работает. Кажется, он не аутентифицирует информацию о пользователе в бэкэнде LDAP, к которому я подключился. Когда я заполняю форму, она всегда возвращается с «неактивным пользователем», когда я знаю, что пользователь находится на тестовом сервере. Все, что я хочу, - это просто признать, что это «действительный пользователь»

Я запускаю его на тестовом сервере LDAP, найденном здесь http://www.forumsys.com/tutorials/integration-how-to/ldap/online-ldap-test-server/

вот изменения, которые я сделал в проекте:

settings.py 

import ldap
from django_auth_ldap.config import LDAPSearch


AUTH_LDAP_SERVER_URI = "ldap://ldap.forumsys.com:389"
AUTH_LDAP_CONNECTION_OPTIONS = {
    ldap.OPT_REFERRALS: 0
}

AUTH_LDAP_BIND_DN = "cn=read-only-admin,dc=example,dc=com"
AUTH_LDAP_BIND_PASSWORD = "password"
AUTH_LDAP_USER_SEARCH = LDAPSearch(
    "dc=example,dc=com",
    ldap.SCOPE_SUBTREE, "(uid=%(user)s)")

BASE_DIR = os.path.dirname(os.path.dirname(os.path.abspath(__file__)))

AUTHENTICATION_BACKENDS = [
    'django_auth_ldap.backend.LDAPBackend',
]

views.py 

from django.contrib.auth import authenticate, login
from django.shortcuts import render    

def login_user(request):

    email = password = ""
    state = ""

    if request.POST:
        email = request.POST.get('email')
        password = request.POST.get('password')

        print (email, password)

        user = authenticate(username=request.POST.get('email'), password=request.POST.get('password'))
        if user is not None:
            login(request, user)
            state = "Valid account"
        else:
            state = "Inactive account"

    return render(request, 'KPI/auth.html', {'state': state, 'email': email})

auth.html 

<html>
    <head>
        <title>Login</title>
    </head>
    <body>
        {{state}}
        <form action="" method="post"> {% csrf_token %}
            Email address: <input type="text" name="email" value="{{ email }}" />
            Password: <input type="password" name="password" value="" />
            <input type="submit" value="Log in" />
        </form>
    </body>
</html>

EDIT:

я знаю, что конфигурация настроек верна, потому что, когда я запускаю ldapsearch -W -h ldap.forumsys.com -p 389 -D "cn=read-only-admin,dc=example,dc=com" -b "dc=example,dc=com" -s sub "uid=boyle", она вернется с информацией «boyle»

РЕДАКТИРОВАТЬ 2:

Я использовал регистратор, чтобы получить эту ошибку, когда пользователь возвращается как никто

Caught LDAPError while authenticating tesla: CONNECT_ERROR({'desc': 'Connect error', 'info': 'error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed (self signed certificate in certificate chain)'},)

1 Ответ

0 голосов
/ 16 ноября 2018

Похоже, вы не используете правильное имя хоста для сервера.

ldap: //ldap.forumsys: 389 должен быть следующим: ldap: //ldap.forumsys.com: 389

Использование инструмента поиска ldap, такого как ldapsearch, может помочь проверить,сервер отвечает правильно: 

$ ldapsearch -LLL -h ldap.forumsys -p 389 -D 'cn=read-only-admin,dc=example,dc=com' 
-w password -b 'ou=mathematicians,dc=example,dc=com' -s sub "(objectclass=*)"
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)

$ ldapsearch -LLL -h ldap.forumsys.com -p 389 -D 'cn=read-only- 
admin,dc=example,dc=com' -w password -b 'ou=mathematicians,dc=example,dc=com' 
-s sub "(objectclass=*)"
dn: ou=mathematicians,dc=example,dc=com
uniqueMember: uid=euclid,dc=example,dc=com
uniqueMember: uid=riemann,dc=example,dc=com
uniqueMember: uid=euler,dc=example,dc=com
uniqueMember: uid=gauss,dc=example,dc=com
uniqueMember: uid=test,dc=example,dc=com
ou: mathematicians
cn: Mathematicians
objectClass: groupOfUniqueNames
objectClass: top

Если вы получаете данные обратно, это означает, что он находит пользователя.Результат: 0 Успех означает, что сервер ldap смог успешно найти дерево.

Похоже, модуль Django имеет два метода аутентификации пользователя.Настройка, которую вы настроили, сначала пытается найти запись (через uid), а затем использует найденное DN, чтобы затем (снова) связать с предоставленным паролем.Например, он будет искать (uid=boyle), а затем найти DN: uid=boyle,dc=example,dc=com.Затем он будет привязан к серверу LDAP с DN: uid=boyle,dc=example,dc=com, password, предоставленным через страницу входа в систему.

В ответ на Edit 2 выше:

Следующееошибка означает, что библиотека пытается согласовать соединение TLS: 

Caught LDAPError while authenticating tesla: CONNECT_ERROR({'desc': 
'Connect error', 'info': 'error:14090086:SSL 
routines:ssl3_get_server_certificate:certificate verify failed (self 
signed certificate in certificate chain)'},)

Если вы подключаетесь к ldap через порт 389 (ldap: //), тогда TLS не следует согласовывать, и его можно отключить, установив: 

AUTH_LDAP_START_TLS = False

В settings.py.

Из соображений безопасности рекомендуется использовать ldaps и настроить параметры TLS с помощью словаря AUTH_LDAP_CONNECTION_OPTIONS.

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Нет похожих вопросов

...