Прозрачная авторизация. REMOTE_USER. AD. | Форум

19 Окт. 2011, 16:37
Longmayar

Откликов: 7

19 Окт. 2011, 16:37
Longmayar

Откликов: 7

Добрый день!

Есть web-сервер CentOs + Apache 2.2 + mod_wsgi На нем Джанго 1.3 проект "из коробки" с подключенной админкой и созданные в базе SQLite юзеры, группы и доступы.

Есть корпоративный сервер с AD и клиентское рабочее место, входящее в домен с IE на борту.

Цель: Пользователь идет на сайт и, не заполняя никаких логинов и паролей, получает определенные доступы к определенным частям (моделям, страницам) проекта согласно своему доменному имени.

Читал статьи: https://docs.djangoproject.com/en/dev/howto/auth-remote-user/ http://softwaremaniacs.org/forum/django/34868/ http://vermus.blogspot.com/2009/06/lpad-django.html

В голове не сложилась мозаика. Рассматривается множество примеров и нет ни одного HOWTO с начала и до конца. Ясно, что подключая все эти альтернативные способы идентификации сервер получит в заголовке запроса имя доменного юзера. А что с ним делать дальше? Как его сопоставить с правами и доступами?

Ответ | 0

19 Окт. 2011, 17:43

alerion

Откликов: 3778

19 Окт. 2011, 17:43

alerion

Откликов: 3778

Написать свой бекенд авторизации, типа такого https://github.com/pculture/unisubs/blob/ongoing/apps/auth/backends.py#L13 Только в authenticate передаете "имя доменного юзера". В логине, или где там будет проходить автоматическая авторизация юзера, делаете как-то так:

from django.contrib.auth import authenticate, login
user = authenticate(user_domain_name)
if user:
    login(request, user)

Фиксю баги по трейсбеку.

Ответ | 0

19 Окт. 2011, 18:59
Longmayar

Откликов: 7

19 Окт. 2011, 18:59
Longmayar

Откликов: 7

alerion, спасибо за ответ!

Я только начинаю разбираться в Django, написал замечательное приложение с авторами, книгами и издательствами, подключил админку, читая книгу djbook.ru. Не судите строго мои новичковские вопросы )

Если принимать во внимание MTV архитектуру Django приложений, файловую структуру проектов - то что такое "бекенд авторизации"?

Ответ | 0

Откликов: 3778

Откликов: 3778

Та не, вопрос нормальный. Задача не ложная, но нужно вьехать как рабоает.

По-умолчанию Django использует таки бэкенды авторизации:

('django.contrib.auth.backends.ModelBackend',)

Можно посмотреть в доке дефолтные настройки https://docs.djangoproject.com/en/1.3/ref/settings/#authentication-backends Вот собственно код этого бэкенда https://github.com/django/django/blob/master/django/contrib/auth/backends.py

Когда при логине выполняется authenticate(username=username, password=password), Django пытается передать эти параметры по-очереди в метод authenticate каждого бэкенда, пока не получит объект юзера. Если юзер не получен - пароль не верен.

В линке выше вы можете увидеть бэкенды для авторизации через OpenID, twitter и др.

Если у вас в каждом запросе приходит име домена... или что вы там проверяете, можно написать свой метод login, который будет проверять его и авторизировать пользователя или показывать сообщение с ошибкой. В settings.py вписываете в LOGIN_URL урл на ваш логин и каждый раз когда нужна будет авторизацию Django будет туда редиректить.

Можно посмотреть на дефолтный логин https://github.com/django/django/blob/master/django/contrib/auth/views.py#L21 . Там не сложно, просто форму выкинуть и использовать что вам там нужно.

Обновлено 19 Окт. 2011, 20:29 alerion.

Фиксю баги по трейсбеку.

Ответ | 0

19 Окт. 2011, 20:59
Longmayar

Откликов: 7

19 Окт. 2011, 20:59
Longmayar

Откликов: 7

alerion, еще раз спасибо за оперативные ответы!

С бекендом немного разобрался. Получается, что я для своего приложение я могу создать свой собственный mysite/myapp/backends.py и подключить его в settings.py, а могу использовать встроенный RemoteUserBackend. AUTHENTICATION_BACKENDS = ( #'django.contrib.auth.backends.RemoteUserBackend', 'django.contrib.auth.backends.ModelBackend', 'mysite.books.backend', )

Вот что мне не очень понятно - так это как будет связан юзер из АД с правами и доступами, определенными в БД Django?

Все, что делает наш бекенд (насколько я понял) - это проверяет: есть ли в АД пользователь с именем DOMEN\vasiliy.pupkin с паролем pass. Если есть - то он просто возвращает ссылку на него? Зачем RemoteUserBackend создает такого пользователя, если его не нашлось в АД? И вот еще что не понятно - как я буду основываться на разрешениях для группы, если я их создаю для локальных пользователей?

Ответ | 0

Откликов: 3778

Откликов: 3778

Ни когда не использовал RemoteUserBackend, не могу ничего посоветовать. Бекенд должен вернуть экземпляр модели пользователя, или дефолтной или кастомной как можно увидеть в примерах выше.

Посмотрите как тут https://github.com/pculture/unisubs/blob/ongoing/apps/auth/backends.py#L31 правда кода много, простой пример не вспомню. У нас есть openid_key, по нем пытаемся найти юзера в БД, если его нет - создаем. Как привязаеть openid_key это уже наше дело, можно в одельной таблице, можно подменить модель юзера и добавить поле в модель(тут пример http://djbook.ru/examples/6/). Вам нужно хранить имя домена или что там у вас вместо openid_key. А дальше уже все работает с записью пользователя в БД.

Фиксю баги по трейсбеку.

Ответ | 0

17 Дек. 2013, 9:53 lucidlynx Откликов: 1	17 Дек. 2013, 9:53 lucidlynx Откликов: 1 Коллеги доброе утро. Помогите разобраться с аналогичной проблемой. Нужно прикрутить доменную авторизацию к проекту. Скажу сразу с python и django не знаком вообще(( Как вы реализовали эту функцию
	Ответ \| 0