如果 LDAP 用户是特定组的一部分,则对他进行身份验证
Authenticate LDAP user if he's a part of a specific group
在我的节点应用程序中,我有一个用例,在该用例中我需要仅对属于特定组的 LDAP 用户进行身份验证。如果用户不属于上述组,则身份验证应该失败。
我正在使用库 ldapauth-fork 进行 LDAP 身份验证。
我尝试了各种过滤器方法,但 none 中的方法按预期工作。以下是我尝试过的尝试:
let ldapConnector = new LdapAuth (
{
url : config.ldap.url,
bindDN : config.ldap.bindDN,
adminPassword : config.ldap.adminPassword,
searchBase : config.ldap.searchBase,
searchFilter : "(&(sAMAccountName=testUser)(memberOf=testGroup))",
cache : true,
includeRaw : true,
log : logger
}
);
对于此配置,我总是得到 no such user: "testuser",即使用户是 testGroup 组的成员。
let ldapConnector = new LdapAuth (
{
url : config.ldap.url,
bindDN : config.ldap.bindDN,
adminPassword : config.ldap.adminPassword,
searchBase : config.ldap.searchBase,
searchFilter : "(sAMAccountName=testuser)",
groupSearchFilter : "(member=testGroup)"`
cache : true,
includeRaw : true,
log : logger
}
);
对于此配置,身份验证始终成功,即使组名是随机字符串也是如此。
那么,使身份验证有效的正确过滤器字符串应该是什么?
我看到您想要在 "username = x and group = y" 上进行 LDAP 搜索过滤器匹配。为此,您需要为 memberOf 属性的值提供一个完全可分辨的名称。
这应该有效:
(&(sAMAccountName=testuser)(memberOf=cn=testGroup,cn=Users,DC=yourdomain,DC=yourdomainsuffix))
以上示例假定 testGroup 驻留在您的 Active Directory 域中的默认位置 CN=Users 中。如果在其他地方,请适当修改 LDAP 路径。例如,这在我的隔离测试域中有效,因为我没有将 GroupA 组移出用户容器:
(&(sAMAccountName=Todd)(memberOf=cn=GroupA,cn=Users,DC=dev,DC=local))
编辑(4/20/2018):在第二种情况下,根据 mvreijn 的评论,groupSearchFilter 仅用于请求有效用户所属的组列表。它在身份验证期间不起作用。
在我的节点应用程序中,我有一个用例,在该用例中我需要仅对属于特定组的 LDAP 用户进行身份验证。如果用户不属于上述组,则身份验证应该失败。
我正在使用库 ldapauth-fork 进行 LDAP 身份验证。
我尝试了各种过滤器方法,但 none 中的方法按预期工作。以下是我尝试过的尝试:
let ldapConnector = new LdapAuth (
{
url : config.ldap.url,
bindDN : config.ldap.bindDN,
adminPassword : config.ldap.adminPassword,
searchBase : config.ldap.searchBase,
searchFilter : "(&(sAMAccountName=testUser)(memberOf=testGroup))",
cache : true,
includeRaw : true,
log : logger
}
);
对于此配置,我总是得到 no such user: "testuser",即使用户是 testGroup 组的成员。
let ldapConnector = new LdapAuth (
{
url : config.ldap.url,
bindDN : config.ldap.bindDN,
adminPassword : config.ldap.adminPassword,
searchBase : config.ldap.searchBase,
searchFilter : "(sAMAccountName=testuser)",
groupSearchFilter : "(member=testGroup)"`
cache : true,
includeRaw : true,
log : logger
}
);
对于此配置,身份验证始终成功,即使组名是随机字符串也是如此。
那么,使身份验证有效的正确过滤器字符串应该是什么?
我看到您想要在 "username = x and group = y" 上进行 LDAP 搜索过滤器匹配。为此,您需要为 memberOf 属性的值提供一个完全可分辨的名称。
这应该有效:
(&(sAMAccountName=testuser)(memberOf=cn=testGroup,cn=Users,DC=yourdomain,DC=yourdomainsuffix))
以上示例假定 testGroup 驻留在您的 Active Directory 域中的默认位置 CN=Users 中。如果在其他地方,请适当修改 LDAP 路径。例如,这在我的隔离测试域中有效,因为我没有将 GroupA 组移出用户容器:
(&(sAMAccountName=Todd)(memberOf=cn=GroupA,cn=Users,DC=dev,DC=local))
编辑(4/20/2018):在第二种情况下,根据 mvreijn 的评论,groupSearchFilter 仅用于请求有效用户所属的组列表。它在身份验证期间不起作用。