Django如何配置Windows AD域進行賬號認證

我們使用Django開發網站后臺是，會有賬號密碼認證登錄的需求，一般公司內部會使用Windows 的AD 或者Linux下的OpenLDAP進行賬號密碼認證。以下為Django使用Windows AD進行賬號認證的配置，代碼全部配置在Django的setting.py 文件中。

代碼如下：

 1#Django-auth-ldap 配置部分 此部分代碼配置在django的settings.py里
 2import ldap
 3from django_auth_ldap.config import LDAPSearch,GroupOfNamesType
 4
 5#修改Django認證先走ldap，再走本地認證
 6AUTHENTICATION_BACKENDS = [
 7    'django_auth_ldap.backend.LDAPBackend',
 8    'django.contrib.auth.backends.ModelBackend',
 9]
10
11#ldap的連接基礎配置
12AUTH_LDAP_SERVER_URI = "ldap://192.168.146.21:389"
13AUTH_LDAP_BIND_DN = "CN=administrator,CN=Users,DC=test,DC=com"
14AUTH_LDAP_BIND_PASSWORD = 'testpassword'
15
16#允許認證用戶的路徑
17# AUTH_LDAP_USER_SEARCH = LDAPSearch("OU=test,DC=test,DC=com", ldap.SCOPE_SUBTREE, "(&(objectClass=person)(sAMAccountName=%(user)s))")
18AUTH_LDAP_USER_SEARCH = LDAPSearch("OU=test,DC=test,DC=intra",
19                                   ldap.SCOPE_SUBTREE, "(sAMAccountName=%(user)s)")
20
21#通過組進行權限控制
22AUTH_LDAP_GROUP_SEARCH = LDAPSearch("ou=groups,ou=test,dc=test,dc=intra",
23    ldap.SCOPE_SUBTREE, "(objectClass=groupOfNames)"
24)
25
26AUTH_LDAP_GROUP_TYPE = GroupOfNamesType()
27
28#is_staff:這個組里的成員可以登錄；is_superuser:組成員是django admin的超級管理員；is_active:組成員可以登錄django admin后天，無權限
29AUTH_LDAP_USER_FLAGS_BY_GROUP = {
30    "is_staff": "cn=test_users,ou=groups,OU=test,DC=test,DC=com",
31    "is_superuser": "cn=test_users,ou=groups,OU=tset,DC=test,DC=com",
32}
33#通過組進行權限控制end
34
35#如果ldap服務器是Windows的AD，需要配置上如下選項
36AUTH_LDAP_CONNECTION_OPTIONS = {
37    ldap.OPT_DEBUG_LEVEL: 1,
38    ldap.OPT_REFERRALS: 0,
39}
40
41#當ldap用戶登錄時，從ldap的用戶屬性對應寫到django的user數據庫，鍵為django的屬性，值為ldap用戶的屬性
42AUTH_LDAP_USER_ATTR_MAP = {
43    "first_name": "givenName",
44    "last_name": "sn",
45    "email": "mail"
46}
47
48#如果為True，每次組成員都從ldap重新獲取，保證組成員的實時性；反之會對組成員進行緩存，提升性能，但是降低實時性
49# AUTH_LDAP_FIND_GROUP_PERMS = True 

配置完成后，用戶通過admin后臺登錄時，如果域用戶不在指定的group中時，會提示登錄失敗，但是在auth_user用戶表中，會有這個用戶的屬性，配置了superuser的可以登錄后臺，代碼中配置的默認賬號，可以直接登錄admin后天，以管理員的身份登錄。