0

我的 Django ( Django 1.11) 项目使用 django-auth-ldap 1.2 作为身份验证支持。

我可以使用以下方法对任何用户代理 LDAP 数据库进行身份验证:

@login_required(login_url='/accounts/login/')

在这种情况下,任何组的任何用户都可以登录该站点。

我想只允许来自“group1”的用户能够访问该网站。我使用了下面列出的代码

from django.shortcuts import render
from django.template import loader
from django.http import HttpResponse
from django.contrib.auth.decorators import login_required
from django.contrib.auth import views as auth_views
  @user_passes_test(
            lambda u: hasattr(u, 'ldap_user') and 'group1' in u.ldap_user.group_names,
            login_url='/accounts/login/')
    def index(request):
        template = loader.get_template('main/index.html')
        return HttpResponse(template.render())

这是代码不起作用,用户永远不会通过测试。根据模型文档django-auth-ldap 文档,我可以使用 ldap_user.group_names 来获取用户的组名。

这是我在 settings.py 中的 ldap 设置:

import os
import django



AUTHENTICATION_BACKENDS = ('django_auth_ldap.backend.LDAPBackend',)

import ldap
from django_auth_ldap.config import LDAPSearch, GroupOfNamesType


AUTH_LDAP_SERVER_URI = "ldap://mydomain.com"

AUTH_LDAP_BIND_DN = "cn=admin,dc=mydomain,dc=com"

AUTH_LDAP_BIND_PASSWORD = "mypass"

AUTH_LDAP_USER_SEARCH = LDAPSearch("ou=ou_org_unit,dc=mydomain,dc=com",
ldap.SCOPE_SUBTREE, "(uid=%(user)s)")

AUTH_LDAP_GROUP_SEARCH = LDAPSearch("ou=ou_org_unit,cn=group1,cn=group2,dc=mydomain,dc=com",
    ldap.SCOPE_SUBTREE, "(objectClass=groupOfNames)"
)

AUTH_LDAP_GROUP_TYPE = GroupOfNamesType()

AUTH_LDAP_USER_ATTR_MAP = {
    "first_name": "givenName",
    "last_name": "sn",
    "email": "mail"
}

AUTH_LDAP_FIND_GROUP_PERMS = True
AUTH_LDAP_CACHE_GROUPS = True
AUTH_LDAP_GROUP_CACHE_TIMEOUT = 3600

我的问题是:为什么我无法使用此代码对任何用户进行身份验证?

4

1 回答 1

1

如果要将登录限制为单个组,则应使用AUTH_LDAP_REQUIRE_GROUP设置。

您可能还希望使用AUTH_LDAP_MIRROR_GROUPS以便将所有 LDAP 组自动加载到 Django 数据库中。

作为奖励,您可以AUTH_LDAP_REQUIRE_GROUP通过使用LDAPGroupQuery课程在设置中包含多个组。例如(取自文档):

from django_auth_ldap.config import LDAPGroupQuery

AUTH_LDAP_REQUIRE_GROUP = (
    (
        LDAPGroupQuery("cn=enabled,ou=groups,dc=example,dc=com") |
        LDAPGroupQuery("cn=also_enabled,ou=groups,dc=example,dc=com")
    ) &
    ~LDAPGroupQuery("cn=disabled,ou=groups,dc=example,dc=com")
)
于 2018-06-01T01:46:05.917 回答