[英]Python-ldap not able to bind successfully
我沒有運氣找到答案,所以就這樣了。
當我嘗試使用 python-ldap 連接到 AD 服務器時,它似乎對某些功能成功運行,而對其他功能則無效。 我的連接:
>>>import sys
>>>import ldap
>>>l = ldap.initialize("ldap://company.com:389")
>>>l.set_option(ldap.OPT_PROTOCOL_VERSION, 3)
>>>l.simple_bind_s("user@company.com","password")
(97, [], 1, [])
一些簡單的谷歌搜索表明 97 意味着成功,盡管成功的程度有點不穩定。 但是,出於某種原因,我在狀態代碼 1 上找不到任何內容。如果我在連接上運行一些 ldap 函數,它們中的一些會起作用,而另一些則不起作用。
>>>l.whoami_s()
'u:COMPANY.COM\\user'
似乎恢復正常,但是
>>> base_dn = 'dc=company,dc=com'
>>> retrieveAttributes = ["uniquemember"]
>>> searchFilter = "cn=user"
>>> l.search_s(base_dn, ldap.SCOPE_SUBTREE,searchFilter,retrieveAttributes)
Traceback (most recent call last):
File "<console>", line 1, in <module>
File "/home/user/.envs/scoring/local/lib/python2.7/site-packages/ldap/ldapobject.py", line 552, in search_s
return self.search_ext_s(base,scope,filterstr,attrlist,attrsonly,None,None,timeout=self.timeout)
File "/home/user/.envs/scoring/local/lib/python2.7/site-packages/ldap/ldapobject.py", line 546, in search_ext_s
return self.result(msgid,all=1,timeout=timeout)[1]
File "/home/user/.envs/scoring/local/lib/python2.7/site-packages/ldap/ldapobject.py", line 458, in result
resp_type, resp_data, resp_msgid = self.result2(msgid,all,timeout)
File "/home/user/.envs/scoring/local/lib/python2.7/site-packages/ldap/ldapobject.py", line 462, in result2
resp_type, resp_data, resp_msgid, resp_ctrls = self.result3(msgid,all,timeout)
File "/home/user/.envs/scoring/local/lib/python2.7/site-packages/ldap/ldapobject.py", line 469, in result3
resp_ctrl_classes=resp_ctrl_classes
File "/home/user/.envs/scoring/local/lib/python2.7/site-packages/ldap/ldapobject.py", line 476, in result4
ldap_result = self._ldap_call(self._l.result4,msgid,all,timeout,add_ctrls,add_intermediates,add_extop)
File "/home/user/.envs/scoring/local/lib/python2.7/site-packages/ldap/ldapobject.py", line 99, in _ldap_call
result = func(*args,**kwargs)
OPERATIONS_ERROR: {'info': '000004DC: LdapErr: DSID-0C0906E8, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, v1db1', 'desc': 'Operations error'}
我很難過為什么 whoami 會起作用但搜索不會。 我正在為用戶使用域管理員,因此它與目錄權限無關。 任何人都可以透露一些信息嗎?
我遇到了與您完全相同的錯誤,我所做的是在進行綁定之前添加這一行(如 Christopher 所建議的),l.set_option(ldap.OPT_REFERRALS, 0),例如
conn.protocol_version = ldap.VERSION3
conn.set_option(ldap.OPT_REFERRALS, 0)
conn.simple_bind_s(user, pw)
之后,我與 LDAP 的連接工作正常。
根據@Cas 上面所說的,我只需要添加:
connection.set_option(ldap.OPT_REFERRALS,0)
看起來這是一個很常見的問題,已將其添加到python-ldap FAQ 中:
問:我的腳本綁定到 MS Active Directory,但搜索操作導致異常 ldap.OPERATIONS_ERROR,診斷消息文本為“為了執行此操作,必須在連接上完成成功的綁定。”。 這里發生了什么事?
答:當從域級別進行搜索時,MS AD 會返回某些對象的引用(搜索繼續),以指示客戶端在何處查找這些對象。 客戶端跟蹤引用是一個破碎的概念,因為 LDAPv3 沒有指定在跟蹤引用時使用哪些憑據。 Windows 客戶端應該簡單地使用他們的 Windows 憑據,但是在跟蹤從任意 LDAP 服務器接收並指向任意 LDAP 服務器的引用時,這通常不起作用。 因此,默認情況下,libldap 會通過匿名訪問在內部自動追蹤引用,但由於 MS AD 失敗。 所以最好的辦法是關閉這種行為:
l = ldap.initialize('ldap://foobar')
l.set_option(ldap.OPT_REFERRALS,0)
嘗試:
import ldap
connect = ldap.initialize("ldap://example.com")
connect.set_option(ldap.OPT_REFERRALS, 0)
try:
connect.simple_bind_s(login, password)
connect.search_s("dc=example,dc=com",
ldap.SCOPE_SUBTREE,
'userPrincipalName={}'.format(login),
['cn'])
except (ldap.INVALID_CREDENTIALS, ldap.OPERATIONS_ERROR):
return False
retrurn True
所以在這里我們將 LDAP 與我們的憑據綁定,如果沒有出現錯誤,我們會嘗試在 LDAP 中搜索我們用戶的 CN。 如果有一個空密碼並且這是不正確的,這里將引發 OPERATIONS_ERROR,因為沒有執行與憑據的實際綁定。
如果在使用flask-simpleldap時遇到這個錯誤,可以使用這個oneliner:
app.config['LDAP_CUSTOM_OPTIONS'] = {l.OPT_REFERRALS: 0}
請參閱此處的示例。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.