2

在我的节点应用程序中,我有一个用例,我只需要对属于特定组的 LDAP 用户进行身份验证。如果用户不属于上述组,则身份验证应该失败。

我正在使用库ldapauth-fork进行 LDAP 身份验证。

我为过滤器尝试了各种方法,但它们都没有按预期工作。以下是我尝试过的尝试:

let ldapConnector = new LdapAuth (
    {
        url              : config.ldap.url,
        bindDN           : config.ldap.bindDN,
        adminPassword    : config.ldap.adminPassword,
        searchBase       : config.ldap.searchBase,
        searchFilter     : "(&(sAMAccountName=testUser)(memberOf=testGroup))",
        cache            : true,
        includeRaw       : true,
        log              : logger
    }
);

对于这种配置,no such user: "testuser"即使用户是该testGroup组的成员,我也总是会得到。 

let ldapConnector = new LdapAuth (
    {
        url               : config.ldap.url,
        bindDN            : config.ldap.bindDN,
        adminPassword     : config.ldap.adminPassword,
        searchBase        : config.ldap.searchBase,
        searchFilter      : "(sAMAccountName=testuser)", 
        groupSearchFilter : "(member=testGroup)"`
        cache             : true,
        includeRaw        : true,
        log               : logger
    }
);

对于此配置,身份验证始终成功,即使组名是随机字符串。

那么,使身份验证工作的正确过滤字符串应该是什么?

4

1 回答 1

3

我看到您希望在“用户名 = x 和组 = y”上进行 LDAP 搜索过滤器匹配。为此,您需要为 memberOf 属性的值提供一个完全可分辨的名称。

这应该有效:

(&(sAMAccountName=testuser)(memberOf=cn=testGroup,cn=Users,DC=yourdomain,DC=yourdomainsuffix))

上面的示例假定 testGroup 位于 Active Directory 域中 CN=Users 的默认位置。如果它位于其他位置,请根据需要修改 LDAP 路径。例如,这适用于我的隔离测试域,因为我没有将 GroupA 组移出用户容器:

(&(sAMAccountName=Todd)(memberOf=cn=GroupA,cn=Users,DC=dev,DC=local))

编辑(2018 年 4 月 20 日):在第二种情况下,根据 mvreijn 的评论,groupSearchFilter 仅用于请求有效用户所属的组列表。它在身份验证期间不起作用。

于 2018-04-19T18:13:17.967 回答