Python-ldap无法成功绑定

Question

我没有任何运气找到答案，所以就这样做了。

当我计划使用python连接到AD服务器时，它似乎成功地用于某些功能，而不是其他功能。我的联系：

>>>import sys
>>>import ldap

>>>l = ldap.initialize("ldap://company.com:389")
>>>l.set_option(ldap.OPT_PROTOCOL_VERSION, 3)
>>>l.simple_bind_s("user@company.com","password")
(97, [], 1, [])

一些简单的谷歌搜索表明，97意味着成功，尽管成功的程度有点动摇。但是，由于某些原因，我在状态代码1上找不到任何东西。如果我在连接上运行一些ldap函数，其中一些函数可以工作，而有些函数不能工作。

>>>l.whoami_s()
'u:COMPANY.COM\\user'

似乎还不错，但是

>>> base_dn = 'dc=company,dc=com'
>>> retrieveAttributes = ["uniquemember"]
>>> searchFilter = "cn=user"
>>> l.search_s(base_dn, ldap.SCOPE_SUBTREE,searchFilter,retrieveAttributes)
Traceback (most recent call last):
  File "<console>", line 1, in <module>
  File "/home/user/.envs/scoring/local/lib/python2.7/site-packages/ldap/ldapobject.py", line 552, in search_s
    return self.search_ext_s(base,scope,filterstr,attrlist,attrsonly,None,None,timeout=self.timeout)
  File "/home/user/.envs/scoring/local/lib/python2.7/site-packages/ldap/ldapobject.py", line 546, in search_ext_s
    return self.result(msgid,all=1,timeout=timeout)[1]
  File "/home/user/.envs/scoring/local/lib/python2.7/site-packages/ldap/ldapobject.py", line 458, in result
    resp_type, resp_data, resp_msgid = self.result2(msgid,all,timeout)
  File "/home/user/.envs/scoring/local/lib/python2.7/site-packages/ldap/ldapobject.py", line 462, in result2
    resp_type, resp_data, resp_msgid, resp_ctrls = self.result3(msgid,all,timeout)
  File "/home/user/.envs/scoring/local/lib/python2.7/site-packages/ldap/ldapobject.py", line 469, in result3
    resp_ctrl_classes=resp_ctrl_classes
  File "/home/user/.envs/scoring/local/lib/python2.7/site-packages/ldap/ldapobject.py", line 476, in result4
    ldap_result = self._ldap_call(self._l.result4,msgid,all,timeout,add_ctrls,add_intermediates,add_extop)
  File "/home/user/.envs/scoring/local/lib/python2.7/site-packages/ldap/ldapobject.py", line 99, in _ldap_call
    result = func(*args,**kwargs)
OPERATIONS_ERROR: {'info': '000004DC: LdapErr: DSID-0C0906E8, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, v1db1', 'desc': 'Operations error'}

我感到困惑的是，为什么“呜呜”会起作用，但搜索却不能。我正在为用户使用域管理，所以它不应该与目录的权限有任何关系。有人能给点线索吗？

Answer 1

我得到了与您完全相同的错误，我所做的是在执行绑定之前添加这一行(如克里斯托弗所建议的)，l.set_option(ldap.OPT_REFERRALS，0)。

conn.protocol_version = ldap.VERSION3
conn.set_option(ldap.OPT_REFERRALS, 0)
conn.simple_bind_s(user, pw)

在那之后，我与LDAP的连接运行良好。

Answer 2

基于@Cas上面所说的，我只需补充一句：

connection.set_option(ldap.OPT_REFERRALS,0)

看起来这是一个非常常见的问题，所以它被添加到http://www.python-ldap.org/faq.shtml中。

问:我的脚本绑定到MS Active，但是搜索操作会导致异常ldap.OPERATIONS_ERROR，其中包含诊断消息文本“为了执行此操作，必须在连接上完成成功的绑定”。这里发生了什么事？ 答:当从域级别进行搜索时，AD会返回某些对象的引用(搜索连续性)，以指示客户端在哪里查找这些对象。客户端对推荐的追逐是一个错误的概念，因为LDAPv3没有指定在追逐推荐时使用哪种凭据。Windows客户端应该简单地使用他们的Windows凭据，但是在追逐从任意LDAP服务器接收到的引用并指向任意LDAP服务器时，这通常是行不通的。因此，在默认情况下，libldap通过匿名访问自动地在内部追踪引用，这在MS AD中失败。所以最好的办法就是停止这种行为： L= ldap.initialize('ldap://foobar') l.set_option(ldap.OPT_REFERRALS,0)

Answer 3

尝试：

import ldap

connect = ldap.initialize("ldap://example.com")
connect.set_option(ldap.OPT_REFERRALS, 0)
try:
    connect.simple_bind_s(login, password)
    connect.search_s("dc=example,dc=com",
                     ldap.SCOPE_SUBTREE,
                     'userPrincipalName={}'.format(login),
                     ['cn'])
except (ldap.INVALID_CREDENTIALS, ldap.OPERATIONS_ERROR):
    return False
retrurn True

因此，在这里，我们将LDAP绑定到凭据，如果没有引发错误，我们尝试在LDAP中搜索用户的CN。如果有一个空密码，并且这是不正确的，那么这里将引发OPERATIONS_ERROR，因为没有执行与凭据的实际绑定。