Python-ldap 无法成功绑定

Question

我没有任何运气找到答案，所以就这样吧。

当我尝试使用 python-ldap 连接到 AD 服务器时，它似乎对于某些功能可以成功运行，而对于其他功能则不行。我的连接：

>>>import sys
>>>import ldap

>>>l = ldap.initialize("ldap://company.com:389")
>>>l.set_option(ldap.OPT_PROTOCOL_VERSION, 3)
>>>l.simple_bind_s("user@company.com","password")
(97, [], 1, [])

一些简单的谷歌搜索表明 97 意味着成功，尽管成功的程度有点不稳定。但是，由于某种原因，我在状态码 1 上找不到任何内容。如果我在连接上运行一些 ldap 函数，它们中的一些可以工作，而有些则不能。

>>>l.whoami_s()
'u:COMPANY.COM\\user'

似乎恢复正常，但是

>>> base_dn = 'dc=company,dc=com'
>>> retrieveAttributes = ["uniquemember"]
>>> searchFilter = "cn=user"
>>> l.search_s(base_dn, ldap.SCOPE_SUBTREE,searchFilter,retrieveAttributes)
Traceback (most recent call last):
  File "<console>", line 1, in <module>
  File "/home/user/.envs/scoring/local/lib/python2.7/site-packages/ldap/ldapobject.py", line 552, in search_s
    return self.search_ext_s(base,scope,filterstr,attrlist,attrsonly,None,None,timeout=self.timeout)
  File "/home/user/.envs/scoring/local/lib/python2.7/site-packages/ldap/ldapobject.py", line 546, in search_ext_s
    return self.result(msgid,all=1,timeout=timeout)[1]
  File "/home/user/.envs/scoring/local/lib/python2.7/site-packages/ldap/ldapobject.py", line 458, in result
    resp_type, resp_data, resp_msgid = self.result2(msgid,all,timeout)
  File "/home/user/.envs/scoring/local/lib/python2.7/site-packages/ldap/ldapobject.py", line 462, in result2
    resp_type, resp_data, resp_msgid, resp_ctrls = self.result3(msgid,all,timeout)
  File "/home/user/.envs/scoring/local/lib/python2.7/site-packages/ldap/ldapobject.py", line 469, in result3
    resp_ctrl_classes=resp_ctrl_classes
  File "/home/user/.envs/scoring/local/lib/python2.7/site-packages/ldap/ldapobject.py", line 476, in result4
    ldap_result = self._ldap_call(self._l.result4,msgid,all,timeout,add_ctrls,add_intermediates,add_extop)
  File "/home/user/.envs/scoring/local/lib/python2.7/site-packages/ldap/ldapobject.py", line 99, in _ldap_call
    result = func(*args,**kwargs)
OPERATIONS_ERROR: {'info': '000004DC: LdapErr: DSID-0C0906E8, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, v1db1', 'desc': 'Operations error'}

我很难理解为什么 whoami 会起作用但搜索不会。我正在为用户使用域管理员，所以它不应该与目录权限有任何关系。有人能解释一下吗？

Answer 1

我遇到了和你一样的错误，我所做的是在绑定之前添加这一行（如 Christopher 所建议的）l.set_option(ldap.OPT_REFERRALS, 0)，例如

conn.protocol_version = ldap.VERSION3
conn.set_option(ldap.OPT_REFERRALS, 0)
conn.simple_bind_s(user, pw)

之后我与 LDAP 的连接工作正常。

Answer 2

根据@Cas上面所说的，我只需要添加：

connection.set_option(ldap.OPT_REFERRALS,0)

看起来这是一个很常见的问题，它被添加到python-ldap FAQ：

问：我的脚本绑定到 MS Active Directory，但是是一个搜索操作 导致异常 ldap.OPERATIONS_ERROR 与诊断 消息文本“为了执行此操作成功绑定 必须在连接上完成。”。这里发生了什么？

A：从域级别搜索时，MS AD 返回引用 （继续搜索）某些对象以指示给客户 在哪里寻找这些对象。客户追逐推荐是一种 损坏的概念，因为 LDAPv3 没有指定要使用的凭据 追逐转介时。 Windows 客户端应该简单地使用 他们的 Windows 凭据，但这通常在以下情况下不起作用 追逐从任意 LDAP 接收并指向任意 LDAP 的推荐 服务器。因此，默认情况下 libldap 会自动跟踪 使用 MS AD 失败的匿名访问在内部进行推荐。 所以最好的办法是关闭这种行为：

l = ldap.initialize('ldap://foobar')

l.set_option(ldap.OPT_REFERRALS,0)

Answer 3

试试：

import ldap

connect = ldap.initialize("ldap://example.com")
connect.set_option(ldap.OPT_REFERRALS, 0)
try:
    connect.simple_bind_s(login, password)
    connect.search_s("dc=example,dc=com",
                     ldap.SCOPE_SUBTREE,
                     'userPrincipalName={}'.format(login),
                     ['cn'])
except (ldap.INVALID_CREDENTIALS, ldap.OPERATIONS_ERROR):
    return False
retrurn True

所以这里我们将 LDAP 与我们的凭据绑定，如果没有引发错误，我们会尝试在 LDAP 中搜索我们用户的 CN。如果密码为空且不正确，则会在此处引发 OPERATIONS_ERROR，因为没有执行与凭据的实际绑定。

Answer 4

如果你在使用flask-simpleldap时遇到这个错误，你可以使用这个oneliner：

app.config['LDAP_CUSTOM_OPTIONS'] = {l.OPT_REFERRALS: 0}

查看示例here。