NetBox 接入AD LDAP域控认证系统

简介

本文介绍了NetBox接入微软的AD LDAP认证的教程。

NetBox 系列文章：https://songxwn.com/categories/NetBox/

LADP 系列文章：https://songxwn.com/tags/ldap/

已在NetBox 3.5-4.0+版本验证过.

安装

安装系统基础软件包

sudo yum install -y openldap-devel python3-devel
# RHEL 系列
sudo apt install -y libldap2-dev libsasl2-dev libssl-dev
# Debian 系列

安装Python 软件包

source /opt/netbox/venv/bin/activate
pip3 install django-auth-ldap

将ldap包加入本地包列表，用于之后升级安装

sudo sh -c "echo 'django-auth-ldap' >> /opt/netbox/local_requirements.txt"

配置

vim configuration.py


REMOTE_AUTH_BACKEND = 'netbox.authentication.LDAPBackend'
# 打开配置文件，增加开启LDAP认证后端的配置。

LDAP配置文件

vim /opt/netbox/netbox/netbox/ldap_config.py
# 创建并打开LDAP配置文件。下面是示例
# 配置完成后，执行systemctl restart netbox 生效。

配置实例

import ldap

# 引入LDAP库



AUTH_LDAP_SERVER_URI = "ldap://songxwn.com"

# 修改为你的域控的主域名，如果未配置DNS为域控，可以为IP地址。

AUTH_LDAP_CONNECTION_OPTIONS = {
    ldap.OPT_REFERRALS: 0
}

# 如果您要绑定到 Active Directory，则需要此配置。不需要修改



AUTH_LDAP_BIND_DN = "CN=admin,CN=Users,DC=songxwn,DC=com"
AUTH_LDAP_BIND_PASSWORD = "admin@passowrd"


# 设置 NetBox LDAP 服务帐户的 DN 和密码。 （有权限访问索引所有账号的域账号即可，调试初期建议用域管理员）。账号路径建议用ADSI工具查看。

LDAP_IGNORE_CERT_ERRORS = True


# 如果您想忽略证书错误，请包含此设置。 配置为接受自签名证书。不需要修改
# 请注意，这是 NetBox 特定的设置，它设置为： ldap.set_option(ldap.OPT_X_TLS_REQUIRE_CERT, ldap.OPT_X_TLS_NEVER)


from django_auth_ldap.config import LDAPSearch


# 此搜索将匹配 sAMAccountName 等于所提供用户名的用户。 如果用户的用户名不在他们的 DN (Active Directory) 中话。

AUTH_LDAP_USER_SEARCH = LDAPSearch("DC=songxwn,DC=com",
                                    ldap.SCOPE_SUBTREE,
                                    "(sAMAccountName=%(user)s)")



# 如果用户的 DN 可以从用户名中产生，我们就不需要搜索。



AUTH_LDAP_USER_ATTR_MAP = {
    "first_name": "givenName",
    "last_name": "sn",
    "email": "mail"
}


# 您可以将用户属性映射到 Django 属性。

from django_auth_ldap.config import LDAPSearch, GroupOfNamesType
AUTH_LDAP_GROUP_SEARCH = LDAPSearch("DC=songxwn,DC=com", ldap.SCOPE_SUBTREE,
                                    "(objectClass=group)")
AUTH_LDAP_GROUP_TYPE = GroupOfNamesType()


# 此搜索应该返回用户所属的所有组。 django_auth_ldap 使用它来确定组。注意修改DC路径。


from django_auth_ldap.config import LDAPGroupQuery
AUTH_LDAP_REQUIRE_GROUP = (
    LDAPGroupQuery("CN=IT1,CN=Users,DC=songxwn,DC=com")
    | LDAPGroupQuery("CN=IT2,CN=Users,DC=songxwn,DC=com")
)

# 定义允许登录的安全组。


AUTH_LDAP_MIRROR_GROUPS = True
AUTH_LDAP_USER_FLAGS_BY_GROUP = {
    "is_active": ["CN=IT1,CN=Users,DC=songxwn,DC=com", "CN=IT2,CN=Users,DC=songxwn,DC=com"]
}

# 配置LDAP 安全组映射的django 权限。有is_active、is_staff、is_superuser 。 默认激活状态即可。

# 域控安全组和Django 安全组映射可以在Web界面配置。

AUTH_LDAP_CACHE_TIMEOUT = 360

# 配置LDAP缓存时间，防止频繁访问LDAP服务器。

配置实例说明

• 域控服务器的域名为 songxwn.com

• 增加了两个组可以登录netbox，为 IT1 和 IT2

• 使用了admin作为netbox对接域控的接入账号

• 安全组和组织架构，建议用ADSI查看路径。

使用

域控账号不加域控，直接用用户名登录。 账号权限和组权限由NetBox管理。

LDAP接入排错

configuration.py 增加以下配置让ldap输出日志到/opt/netbox/local/logs/django-ldap-debug.log。

PS：注意log文件权限需netbox用户可读写。

LOGGING = {
    'version': 1,
    'disable_existing_loggers': False,
    'handlers': {
        'netbox_auth_log': {
            'level': 'DEBUG',
            'class': 'logging.handlers.RotatingFileHandler',
            'filename': '/opt/netbox/local/logs/django-ldap-debug.log',
            'maxBytes': 1024 * 500,
            'backupCount': 5,
        },
    },
    'loggers': {
        'django_auth_ldap': {
            'handlers': ['netbox_auth_log'],
            'level': 'DEBUG',
        },
    },
}

参考

https://docs.netbox.dev/en/stable/installation/6-ldap/

中文社区微信群

可发送微信号到邮箱➡️ [email protected]