使用 Node.js 连接 LDAP 进行 NTLM 身份验证

本文档介绍了如何在 Node.js 中使用 LDAP 协议结合 NTLM 身份验证，通过服务账号绑定和用户DN检索的方式实现用户登录验证。文章将详细阐述连接 LDAP 服务器、搜索用户 DN 以及验证用户密码的步骤，并提供相应的代码示例，帮助开发者理解并实现基于 LDAP 的用户身份验证功能。

在 Node.js 中集成 LDAP 身份验证，特别是需要使用 NTLM 协议时，可能会遇到一些挑战。不同于直接使用 NTLM 进行绑定，一种更常见且推荐的方法是利用服务账号进行中间层操作。以下将详细介绍如何通过服务账号绑定，检索用户 DN，最终完成用户身份验证的流程。

1. 配置服务账号信息

首先，你需要在应用程序的配置中存储以下信息：

• LDAP 服务器的主机名
• 服务账号的 Distinguished Name (DN)，例如 cn=myapp,ou=users,dc=smth,dc=com
• 服务账号的密码

服务账号是一个在 LDAP 服务器上拥有一定权限的特殊账户，你的应用程序将使用它来执行一些管理操作，例如搜索用户。

2. 身份验证流程

当你的应用程序接收到用户的用户名和密码时，需要执行以下步骤：

Replit Ghostwrite

一种基于 ML 的工具，可提供代码完成、生成、转换和编辑器内搜索功能。

下载

1. 使用服务账号连接 LDAP 服务器： 使用服务账号的 DN 和密码，通过 SIMPLE 绑定方式连接 LDAP 服务器。
2. 搜索用户 DN： 使用用户的用户名（例如 sAMAccountName）在 LDAP 目录中搜索该用户。搜索的目的是获取用户的 Distinguished Name (DN)。
3. 使用用户 DN 验证密码： 使用用户的 DN 和用户提供的密码，再次连接 LDAP 服务器。如果连接成功，则表示用户身份验证成功。

3. 代码示例 (使用 ldapjs 库)

以下是一个使用 ldapjs 库实现上述流程的示例代码。请注意，你需要安装 ldapjs 库：npm install ldapjs。

const ldap = require('ldapjs');

async function authenticateLdap(username, password, config) {
  try {
    // 1. 使用服务账号连接 LDAP 服务器
    const client = ldap.createClient({
      url: config.ldapUrl
    });

    await new Promise((resolve, reject) => {
      client.bind(config.serviceAccountDn, config.serviceAccountPassword, (err) => {
        if (err) {
          console.error('Error binding with service account:', err);
          reject(err);
          return;
        }
        console.log('Successfully bound with service account');
        resolve();
      });
    });

    // 2. 搜索用户 DN
    const searchOptions = {
      filter: `(sAMAccountName=${username})`,
      scope: 'sub',
      attributes: ['dn', 'displayName', 'department', 'description']
    };

    const userDn = await new Promise((resolve, reject) => {
      client.search(config.searchBase, searchOptions, (err, res) => {
        if (err) {
          console.error('Error searching for user:', err);
          reject(err);
          return;
        }

        let userDnResult = null;
        res.on('searchEntry', (entry) => {
          console.log('entry: ' + JSON.stringify(entry.object));
          userDnResult = entry.object.dn;
        });
        res.on('searchReference', (referral) => {
          console.log('referral: ' + referral.uris.join());
        });
        res.on('error', (err) => {
          console.error('error: ' + err.message);
          reject(err);
        });
        res.on('end', (result) => {
          console.log('status: ' + result.status);
          if (userDnResult) {
            resolve(userDnResult);
          } else {
            reject(new Error('User not found'));
          }
        });
      });
    });

    client.unbind((err) => {
      if (err) {
        console.error('Error unbinding client:', err);
      } else {
        console.log('Client unbound successfully');
      }
    });

    // 3. 使用用户 DN 验证密码
    const userClient = ldap.createClient({
      url: config.ldapUrl
    });

    await new Promise((resolve, reject) => {
      userClient.bind(userDn, password, (err) => {
        if (err) {
          console.error('Error binding with user DN:', err);
          reject(err);
          return;
        }
        console.log('Successfully bound with user DN');
        resolve();
      });
    });

    //获取用户信息
    const userInfo = await new Promise((resolve, reject) => {
        userClient.search(userDn, { scope: 'base', attributes: ['displayName', 'department', 'description'] }, (err, res) => {
            if (err) {
                console.error('Error searching user info:', err);
                reject(err);
                return;
            }

            let userInfoResult = {};
            res.on('searchEntry', (entry) => {
                console.log('entry: ' + JSON.stringify(entry.object));
                userInfoResult = {
                    displayName: entry.object.displayName,
                    department: entry.object.department,
                    description: entry.object.description
                };
            });
            res.on('searchReference', (referral) => {
                console.log('referral: ' + referral.uris.join());
            });
            res.on('error', (err) => {
                console.error('error: ' + err.message);
                reject(err);
            });
            res.on('end', (result) => {
                console.log('status: ' + result.status);
                resolve(userInfoResult);
            });
        });
    });

    userClient.unbind((err) => {
        if (err) {
            console.error('Error unbinding user client:', err);
        } else {
            console.log('User client unbound successfully');
        }
    });

    return userInfo; //身份验证成功
  } catch (error) {
    console.error('Authentication failed:', error);
    return false; // 身份验证失败
  }
}

// 示例配置
const config = {
  ldapUrl: 'ldap://ldapDomain', // 替换为你的 LDAP 服务器地址
  serviceAccountDn: 'cn=myapp,ou=users,dc=smth,dc=com', // 替换为你的服务账号 DN
  serviceAccountPassword: 'your_service_account_password', // 替换为你的服务账号密码
  searchBase: 'DC=smth,DC=com' // 替换为你的搜索基础 DN
};

// 使用示例
authenticateLdap('testuser', 'testpassword', config)
  .then(userInfo => {
    if (userInfo) {
      console.log('Authentication successful!');
      console.log('User Info:', userInfo);
    } else {
      console.log('Authentication failed.');
    }
  })
  .catch(err => {
    console.error('Error during authentication:', err);
  });

注意事项：

• 错误处理： 代码中包含了详细的错误处理，以便于调试和排查问题。
• 配置安全： 请务必将服务账号的密码存储在安全的地方，例如环境变量或加密的配置文件中。
• LDAP 搜索基础： searchBase 需要根据你的 LDAP 目录结构进行调整。
• 库的选择： ldapjs 是一个常用的 Node.js LDAP 客户端库，但也存在其他选择，例如 ldapauth-fork。
• NTLM 的替代方案： 尽管上述方法不直接使用 NTLM 绑定，但它提供了一种安全的方式来验证用户的身份，尤其是在需要 NTLM 协议的环境中。

总结

通过使用服务账号进行中间层操作，你可以在 Node.js 中安全地实现 LDAP 身份验证，即使在需要 NTLM 协议的环境中。上述代码示例提供了一个清晰的起点，你可以根据自己的需求进行调整和扩展。记住，安全性是至关重要的，所以请务必采取适当的措施来保护你的 LDAP 配置和凭据。