1

如何对作为访问组或其子组中的属性的用户进行 Perl LDAP 搜索/身份验证?

所有用户 (UID) 位于:

ou=Users,o=company,c=com

访问组是:

cn=Site Full Access,ou=Access,o=company,c=com

访问组具有用户和子组作为属性,例如:

uniquemember | uid=usernameA,ou=Users,o=company,c=com
uniquemember | uid=usernameB,ou=Users,o=company,c=com
uniquemember | uid=usernameC,ou=Users,o=company,c=com
uniquemember | cn=Site Full Access Employees,ou=Access,o=company,c=com

(子组有自己的 uniquemember 属性)

认证脚本思路:

  1. 用他的登录名/密码绑定用户(完成)。
  2. 如果成功,创建用户的 DN,如uid=$username,ou=Users,o=company,c=com(完成)
  3. 遍历 的属性cn=Site Full Access,ou=Access,o=company,c=com并将它们与用户的 DN 进行比较
  4. 如果遇到一个组,也在这个组内搜索用户的DN

我正在使用 Net::LDAP,但没有太多代码可以显示,因为什么是非常标准的。这是 uniquemember 属性的列表:

my $mesg = $ldap->bind ($user_dn, password=>"$pass");
$mesg->code && return undef;

$mesg = $ldap->search(base=>$ldap_access_full, filter=>"(objectclass=*)");
$mesg->code && return undef;

my @entries = $mesg->entries;
my $entry;
foreach $entry ( @entries ) 
{
   if ($entry->exists('uniquemember'))
   {
      my $ref = $entr->get_value('uniquemember', asref=>1);
      for my $uid (@$ref)
      {
     print $uid . "<br/>";
      }
   }
}

这给了我一组用户 DN,但也给了我必须在某些递归函数中列出和比较的组。

我该如何处理?也许还有另一种方法来检查密码和访问组,用户仍然是访问组或其子组的属性?我无法进行任何 LDAP 修改。

4

1 回答 1

1

这称为嵌套组。对于 AD,这是一种解决方案:How to retrieve all Groups from LDAP with Perl

一种解决方案是忽略组,只允许直接用户对象。

如果您需要处理子组,您应该检索条目并检查它是一个组还是一个人。如果您需要在多个级别(...的子组的子组)进行检查,那么您需要递归地进行检查。

对于一级嵌套组。它已经完成了一半,没有经过测试,但你明白了。

当然使用子程序,但我没有使用为了更容易理解(而且时间不够)

$mesg = $ldap->search(base=>$ldap_access_full, filter=>"(objectclass=*)",attrs => [qw(uniquemember)]);
$mesg->code && die $mesg->code;

my @entries = $mesg->entries;
my $entry;

foreach $entry ( @entries ) {
    my @uniquemembers = $entr->get_value('uniquemember');
    foreach my $uniquemember (@uniquemembers){
        #get entry
        $mesg = $ldap->search(base=>$uniquemember, filter=>"(objectclass=*)", attrs => [qw(objectclass uid uniquemember)], scope => 'base');
        $mesg->code && die $mesg->code;
        #if is a group or user?
        my $uniquemember_entry = ($mesg->entries)[0];
        my @objectclasses = $uniquemember_entry->get_value('objectclass');

        my $uid = $uniquemember_entry->get_value('uid');
        if (grep {/user/i} @objectclasses || defined $uid){
            print "$uniquemember has uid: $uid\n";

        } elsif (grep {/group/i} @objectclasses){
            print "it is a group: $uniquemember\n";
            #get its members
            my @nested_group_uniquemembers = $uniquemember_entry->get_value('uniquemember');    
            #get entries
            foreach my $nested_group_uniquemember (@nested_group_uniquemembers){
                $mesg = $ldap->search(base=>$nested_group_uniquemember, filter=>"(objectclass=*)", attrs => [qw(objectclass uid uniquemember)], scope => 'base');
                $mesg->code && die $mesg->code;         
            }
            #check it is an user or group...
        } else {

        }
    }
}
于 2013-07-24T15:15:21.260 回答