通过远程Active Directory单点登录Django站点

问题描述 投票:8回答:2

我使用Django为客户开发了一个Intranet。用户通过Active Directory登录其计算机。目前,我通过标准Django contrib.auth登录,并通过自定义登录后端使用Active Directory。

我希望用户能够通过现有的Active Directory登录使用SSO自动登录Django站点。

我知道这应该通过REMOTE_USER(https://docs.djangoproject.com/en/dev/howto/auth-remote-user/)完成,但文档说:“Web服务器设置REMOTE_USER环境变量的地方”。这假设Django站点和认证服务器在同一台服务器上,不是吗?

在我的例子中,Django站点在Linux + Apache服务器上运行,而Active Directory在另一台Windows机器上运行(实际上有2个不同的AD服务器用于记录人员),所以我不知道REMOTE_USER env变量将如何被设定。

用户都使用Windows机器。

python django windows active-directory single-sign-on
2个回答
1
投票

因此,神奇的词是kerberos认证。

您的用户不会针对您的django应用程序进行身份验证,而是针对您的网络服您的Intranet可能正在运行kerberos服务,它会为您验证您的用户身份,如果经过身份验证,则只需在REMOTE_USER中为您提供用户名。

然后,您可以在LDAP中搜索特定的访问权限,或者拥有一个具有特殊访问权限的自有数据库。

这是CentOS的一篇简短文章。你的环境看起来非常重要,所以我所做的就是向你展示方向;-)

http://wiki.centos.org/HowTos/HttpKerberosAuth

0
投票

而不是Kerberos,只需使用LDAP:

  1. 启用mod_ldapmod_authnz_ldap
  2. 请您的网络管理员创建一个可以访问搜索Active Directory的服务帐户,然后获取“专有名称”和密码以绑定服务帐户
  3. 将以下行添加到您的httpd.conf <Location />   AuthName "Please enter your SSO credentials."   AuthBasicProvider ldap   AuthType basic   AuthLDAPUrl "ldap://my.activedirectory.com:389/OU=Offices,DC=activedirectory,DC=com?sAMAccountName"   AuthLDAPBindDN "CN=binding_account,OU=Administrators,DC=activedirectory,DC=com"   AuthLDAPBindPassword <binding password>   AuthLDAPBindAuthoritative off   LDAPReferrals off   Require valid-user </Location> 关注Django documentation并将RemoteUserMiddlewareRemoteUserBackend添加到AUTHENTICATION_BACKENDS

注意,启用LDAP后,Apache将处理身份验证,您的登录将如下所示:

Apache LDAP auth dialog

有关更详细的答案,请阅读this post on my blog

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.