Django LDAP 认证：用户搜索与组权限配置详解

本文旨在解决 Django 使用 django-auth-ldap 库进行 LDAP 认证时，用户搜索失败以及组权限配置不生效的问题。通过分析常见错误配置，深入探讨了 LDAP 搜索范围、用户和组在 LDAP 目录中的组织方式，以及不同类型组的配置方法，帮助开发者正确配置 AUTH_LDAP_USER_SEARCH、AUTH_LDAP_REQUIRE_GROUP 等关键参数，实现基于 LDAP 组的权限控制。

用户搜索配置 (AUTH_LDAP_USER_SEARCH)

在使用 django-auth-ldap 进行用户认证时，AUTH_LDAP_USER_SEARCH 设置至关重要。它定义了在 LDAP 目录中搜索用户的范围和过滤条件。常见的错误在于将组的 DN 作为搜索的基准 DN，导致无法找到用户。

错误示例：

AUTH_LDAP_USER_SEARCH = LDAPSearch("CN=allow,OU=Groups,DC=i,DC=e,DC=int", ldap.SCOPE_SUBTREE, "(sAMAccountName=%(user)s)")

上述配置尝试在名为 allow 的组下搜索用户。这是错误的，因为用户对象通常并不直接位于组对象之下，而是通过 member 或 uniqueMember 属性关联。正确的做法是指定包含用户对象的 OU 或 DC 作为搜索的基准 DN。

正确配置：

假设用户对象位于 OU=Users,DC=i,DC=e,DC=int 下，正确的配置应如下所示：

AUTH_LDAP_USER_SEARCH = LDAPSearch("OU=Users,DC=i,DC=e,DC=int", ldap.SCOPE_SUBTREE, "(sAMAccountName=%(user)s)")

注意事项：

• 基准 DN 必须指向包含用户对象的容器（OU 或 DC）。
• 搜索范围 (ldap.SCOPE_SUBTREE) 决定了搜索的深度，ldap.SCOPE_SUBTREE 会搜索指定基准 DN 下的所有子树。
• 过滤器 (sAMAccountName=%(user)s) 用于匹配用户名，%(user)s 会被 Django 替换为用户输入的用户名。

组权限配置 (AUTH_LDAP_REQUIRE_GROUP)

AUTH_LDAP_REQUIRE_GROUP 用于限制只有特定 LDAP 组的成员才能访问 Django 应用。配置此项时，需要注意组的类型以及相应的配置。

常见错误：

• 组类型不匹配： LDAP 中存在多种组类型，如 groupOfNames 和 groupOfUniqueNames。如果组类型配置错误，会导致 Django 无法正确解析组成员。
• 组搜索配置错误： 组搜索配置 (AUTH_LDAP_GROUP_SEARCH) 需要正确指定组的基准 DN 和过滤器。

正确配置：

1. 确定组类型： 使用 LDAP 管理工具（如 Apache Directory Studio）查看组对象的 objectClass 属性，确定组类型。

2. 配置组类型： 根据组类型设置 AUTH_LDAP_GROUP_TYPE。

   • groupOfNames 类型：

     AUTH_LDAP_GROUP_TYPE = GroupOfNamesType()

   • groupOfUniqueNames 类型：

     AUTH_LDAP_GROUP_TYPE = GroupOfUniqueNamesType()

3. 配置组搜索： 设置 AUTH_LDAP_GROUP_SEARCH，指定组的基准 DN 和过滤器。基准 DN 应该指向包含组对象的容器。

   AUTH_LDAP_GROUP_SEARCH = LDAPSearch("OU=Groups,DC=i,DC=e,DC=int", ldap.SCOPE_SUBTREE, "(objectClass=groupOfNames)")

4. 配置所需组： 设置 AUTH_LDAP_REQUIRE_GROUP 为组的完整 DN。

   AUTH_LDAP_REQUIRE_GROUP = "CN=allow,OU=Groups,DC=i,DC=e,DC=int"

完整示例：

import ldap
from django_auth_ldap.config import LDAPSearch, GroupOfNamesType

AUTH_LDAP_USER_SEARCH = LDAPSearch("OU=Users,DC=i,DC=e,DC=int", ldap.SCOPE_SUBTREE, "(sAMAccountName=%(user)s)")
AUTH_LDAP_REQUIRE_GROUP = "CN=allow,OU=Groups,DC=i,DC=e,DC=int"
AUTH_LDAP_GROUP_TYPE = GroupOfNamesType()
AUTH_LDAP_GROUP_SEARCH = LDAPSearch("OU=Groups,DC=i,DC=e,DC=int", ldap.SCOPE_SUBTREE, "(objectClass=groupOfNames)")

注意事项：

• AUTH_LDAP_GROUP_SEARCH 的基准 DN 应该指向包含组对象的容器。
• AUTH_LDAP_REQUIRE_GROUP 必须是组的完整 DN。
• 确保 AUTH_LDAP_GROUP_TYPE 与实际的组类型匹配。

总结

正确配置 AUTH_LDAP_USER_SEARCH 和 AUTH_LDAP_REQUIRE_GROUP 是使用 django-auth-ldap 进行 LDAP 认证的关键。理解 LDAP 目录的结构，区分用户对象和组对象，以及正确配置组类型，是解决认证问题的关键。通过本文提供的示例和注意事项，可以帮助开发者更好地配置 Django 的 LDAP 认证，实现安全可靠的用户访问控制。