日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

1 Go連接LDAP服務(wù)

通過(guò)go操作的ldap,這里使用到的是go-ldap[1]包，該包基本上實(shí)現(xiàn)了ldap v3的基本功能. 比如連接ldap服務(wù)、新增、刪除、修改用戶信息等，支持條件檢索的ldap庫(kù)中存儲(chǔ)的數(shù)據(jù)信息。

在蒲江縣等地區(qū)，都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局，加強(qiáng)發(fā)展的系統(tǒng)性、市場(chǎng)前瞻性、產(chǎn)品創(chuàng)新能力，以專注、極致的服務(wù)理念，為客戶提供成都網(wǎng)站制作、成都網(wǎng)站設(shè)計(jì) 網(wǎng)站設(shè)計(jì)制作按需網(wǎng)站設(shè)計(jì),公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),成都品牌網(wǎng)站建設(shè),營(yíng)銷型網(wǎng)站,成都外貿(mào)網(wǎng)站建設(shè),蒲江縣網(wǎng)站建設(shè)費(fèi)用合理。

2 下載

 
 
 
 

  
  
  
  
go get github.com/go-ldap/ldap/v3
  
  
  
  
go get github.com/wxnacy/wgo/arrays
 
 
 
 

使用go-ldap包，可以在gopkg.in/ldap.v3@v3.1.0#section-readme[2]查看說(shuō)明文檔

3 準(zhǔn)備LDAP環(huán)境

這里通過(guò)docker-compose運(yùn)行一個(gè)臨時(shí)的ldap實(shí)驗(yàn)環(huán)境,

 
 
 
 

  
  
  
  
version: "3"
  
  
  
  
services:
  
  
  
  
  ldap:
  
  
  
  
    image: osixia/openldap:latest
  
  
  
  
    container_name: openldap
  
  
  
  
    hostname: openldap
  
  
  
  
    restart: always
  
  
  
  
    environment:
  
  
  
  
      - "LDAP_ORGANISATION=devopsman"
  
  
  
  
      - "LDAP_DOMAIN=devopsman.cn"
  
  
  
  
      - "LDAP_BASE_DN=dc=devopsman,dc=cn"
  
  
  
  
      - "LDAP_ADMIN_PASSWORD=admin123"
  
  
  
  
    ports:
  
  
  
  
      - 389:389
  
  
  
  
      - 636:636
 
 
 
 

可以按需修改對(duì)應(yīng)的環(huán)境變量信息.可以在hub.docker.com[3]找到指定版本的鏡像信息. 現(xiàn)在創(chuàng)建一下openldap并且檢查一下服務(wù)的是否正常:

4 GO-LDAP案例實(shí)踐

創(chuàng)建用戶

在pkg.go.dev文檔中查看，有一個(gè)Add方法可以完成創(chuàng)建用戶的操作，但是需要一個(gè)AddRequest參數(shù)，而NewAddRequest方法可以返回AddRequest，于是按照此思路梳理一下。

首先要建立與openldap之間的連接，驗(yàn)證賬號(hào)是否正常，同時(shí)此賬號(hào)要有創(chuàng)建的權(quán)限。

 
 
 
 

  
  
  
  
// LoginBind  connection ldap server and binding ldap server
  
  
  
  
func LoginBind(ldapUser, ldapPassword string) (*ldap.Conn, error) {
  
  
  
  
 l, err := ldap.DialURL(ldapURL)
  
  
  
  
 if err != nil {
  
  
  
  
  return nil, err
  
  
  
  
 }
  
  
  
  
 _, err = l.SimpleBind(&ldap.SimpleBindRequest{
  
  
  
  
  Username: fmt.Sprintf("cn=%s,dc=devopsman,dc=cn", ldapUser),
  
  
  
  
  Password: ldapPassword,
  
  
  
  
 })
  
  
  
  

  
  
  
  
 if err != nil {
  
  
  
  
  fmt.Println("ldap password is error: ", ldap.LDAPResultInvalidCredentials)
  
  
  
  
  return nil, err
  
  
  
  
 }
  
  
  
  
 fmt.Println(ldapUser,"登錄成功")
  
  
  
  
 return l, nil
  
  
  
  
}
 
 
 
 

其次，創(chuàng)建用戶，需要準(zhǔn)備用戶的姓名、密碼、sn、uid、gid等信息，可以創(chuàng)建一個(gè)struct結(jié)構(gòu)

 
 
 
 

  
  
  
  
type User struct {
  
  
  
  
 username    string
  
  
  
  
 password    string
  
  
  
  
 telephone   string
  
  
  
  
 emailSuffix string
  
  
  
  
 snUsername  string
  
  
  
  
 uid         string
  
  
  
  
 gid         string
  
  
  
  
}
 
 
 
 

通過(guò)go-ldap包提供的NewAddRequest方法，可以返回新增請(qǐng)求

 
 
 
 

  
  
  
  
func (user *User) addUser(conn *ldap.Conn) error {
  
  
  
  
 ldaprow := ldap.NewAddRequest(fmt.Sprintf("cn=%s,dc=devopsman,dc=cn", user.username), nil)
  
  
  
  
 ldaprow.Attribute("userPassword", []string{user.password})
  
  
  
  
 ldaprow.Attribute("homeDirectory", []string{fmt.Sprintf("/home/%s", user.username)})
  
  
  
  
 ldaprow.Attribute("cn", []string{user.username})
  
  
  
  
 ldaprow.Attribute("uid", []string{user.username})
  
  
  
  
 ldaprow.Attribute("objectClass", []string{"shadowAccount", "posixAccount", "account"})
  
  
  
  
 ldaprow.Attribute("uidNumber", []string{"2201"})
  
  
  
  
 ldaprow.Attribute("gidNumber", []string{"2201"})
  
  
  
  
 ldaprow.Attribute("loginShell", []string{"/bin/bash"})
  
  
  
  

  
  
  
  
 if err := conn.Add(ldaprow); err != nil {
  
  
  
  
  return err
  
  
  
  
 }
  
  
  
  
 return nil
  
  
  
  
}
 
 
 
 

最后，我們就可以通過(guò)實(shí)例化User這個(gè)對(duì)象，完成用戶的創(chuàng)建了:

 
 
 
 

  
  
  
  
func main() {
  
  
  
  
 con, err := LoginBind("admin", "admin123")
  
  
  
  
 fmt.Println(con.IsClosing())
  
  
  
  
 if err != nil {
  
  
  
  
  fmt.Println("V")
  
  
  
  
  fmt.Println(err)
  
  
  
  
 }
  
  
  
  
 var user User
  
  
  
  
 user.username="marionxue"
  
  
  
  
 user.password="admin123"
  
  
  
  
 user.snUsername="Marionxue"
  
  
  
  
 user.uid="1000"
  
  
  
  
 user.gid="1000"
  
  
  
  
 user.emailSuffix="@qq.com"
  
  
  
  

  
  
  
  
 if err=user.addUser(con);err!=nil{
  
  
  
  
  fmt.Println(err)
  
  
  
  
 }
  
  
  
  
 fmt.Println(user.username,"創(chuàng)建完成!")
  
  
  
  
}
 
 
 
 

最后運(yùn)行就可以創(chuàng)建用戶

 
 
 
 

  
  
  
  
...
  
  
  
  
/private/var/folders/jl/9zk5nj316rlg_0svp07w6btc0000gn/T/GoLand/___go_build_github_com_marionxue_go30_tools_go_openldap
  
  
  
  
admin登錄成功
  
  
  
  
marionxue 創(chuàng)建完成!
 
 
 
 

遍歷用戶

遍歷用戶依舊需要與openLDAP建立連接，因此我們復(fù)用LoginBind函數(shù)，創(chuàng)建一個(gè)獲取賬號(hào)的函數(shù)GetEmployees

 
 
 
 

  
  
  
  
func GetEmployees(con *ldap.Conn) ([]string, error) {
  
  
  
  
 var employees []string
  
  
  
  
 sql := ldap.NewSearchRequest("dc=devopsman,dc=cn",
  
  
  
  
  ldap.ScopeWholeSubtree,
  
  
  
  
  ldap.NeverDerefAliases,
  
  
  
  
  0,
  
  
  
  
  0,
  
  
  
  
  false,
  
  
  
  
  "(objectClass=*)",
  
  
  
  
  []string{"dn", "cn", "objectClass"},
  
  
  
  
  nil)
  
  
  
  

  
  
  
  
 cur, err := con.Search(sql)
  
  
  
  
 if err != nil {
  
  
  
  
  return nil, err
  
  
  
  
 }
  
  
  
  

  
  
  
  
 if len(cur.Entries) > 0 {
  
  
  
  
  for _, item := range cur.Entries {
  
  
  
  
   cn := item.GetAttributeValues("cn")
  
  
  
  
   for _, iCn := range cn {
  
  
  
  
    employees = append(employees, strings.Split(iCn, "[")[0])
  
  
  
  
   }
  
  
  
  
  }
  
  
  
  
  return employees, nil
  
  
  
  
 }
  
  
  
  
 return nil, nil
  
  
  
  
}
 
 
 
 

我們通過(guò)NewSearchRequest檢索BaseDB為dc=devopsman,dc=cn下的賬號(hào)信息,最后將用戶名cn打印出來(lái)

 
 
 
 

  
  
  
  
func main() {
  
  
  
  
 con, err := LoginBind("admin", "admin123")
  
  
  
  
 if err != nil {
  
  
  
  
  fmt.Println("V")
  
  
  
  
  fmt.Println(err)
  
  
  
  
 }
  
  
  
  
 employees, err := GetEmployees(con)
  
  
  
  
 if err != nil {
  
  
  
  
  fmt.Println(err)
  
  
  
  
 }
  
  
  
  
 for _, employe := range employees {
  
  
  
  
  fmt.Println(employe)
  
  
  
  

  
  
  
  
 }
  
  
  
  
}
 
 
 
 

結(jié)果就是我們前面創(chuàng)建的一個(gè)用戶

 
 
 
 

  
  
  
  
marionxue
 
 
 
 

刪除賬號(hào)

同樣的思路，然后創(chuàng)建一個(gè)刪除方法delUser

 
 
 
 

  
  
  
  
// delUser 刪除用戶
  
  
  
  
func (user *User) delUser(conn *ldap.Conn) error{
  
  
  
  
 ldaprow := ldap.NewDelRequest(fmt.Sprintf("cn=%s,dc=devopsman,dc=cn",user.username),nil)
  
  
  
  

  
  
  
  
 if err:= conn.Del(ldaprow);err!=nil{
  
  
  
  
  return err
  
  
  
  
 }
  
  
  
  
 return nil
  
  
  
  
}
 
 
 
 

然后在main函數(shù)中調(diào)用

 
 
 
 

  
  
  
  
func main() {
  
  
  
  
 con, err := LoginBind("admin", "admin123")
  
  
  
  
 if err != nil {
  
  
  
  
  fmt.Println("V")
  
  
  
  
  fmt.Println(err)
  
  
  
  
 }
  
  
  
  
 employees, err := GetEmployees(con)
  
  
  
  
 if err != nil {
  
  
  
  
  fmt.Println(err)
  
  
  
  
 }
  
  
  
  
 var user User
  
  
  
  
 user.username="marionxue"
  
  
  
  

  
  
  
  
 if err:=user.delUser(con);err!=nil{
  
  
  
  
  fmt.Println("用戶刪除失敗")
  
  
  
  
 }
  
  
  
  
 fmt.Println(user.username,"用戶刪除成功!")
  
  
  
  
}
 
 
 
 

運(yùn)行結(jié)果:

 
 
 
 

  
  
  
  
admin登錄成功
  
  
  
  
marionxue 用戶刪除成功!
 
 
 
 

弱密碼檢查

默認(rèn)情況下，在ldap中創(chuàng)建用戶，并沒(méi)有密碼復(fù)雜度的約束，因此對(duì)已存在ldap服務(wù)中使用弱密碼的賬號(hào)有什么好辦法能獲取出來(lái)嗎?ldap的賬號(hào)一旦創(chuàng)建，就看不到密碼了，如果用弱密碼字典模擬登錄的話，是否可行呢?

創(chuàng)建一個(gè)檢查密碼的函數(shù)CheckPassword，通過(guò)逐行讀取弱密碼詞典的數(shù)據(jù)進(jìn)行的模擬登錄，從而找到ldap中使用弱密碼的賬號(hào)：

 
 
 
 

  
  
  
  
func CheckPassword(employe string) {
  
  
  
  
 // 遍歷的弱密碼字典
  
  
  
  
 f, err := os.Open("~/dict.txt")
  
  
  
  
 if err != nil {
  
  
  
  
  fmt.Println("reading dict.txt error: ", err)
  
  
  
  
 }
  
  
  
  
 defer f.Close()
  
  
  
  
 scanner := bufio.NewScanner(f)
  
  
  
  
 for scanner.Scan() {
  
  
  
  
  weakpassword := scanner.Text()
  
  
  
  
  _, err := LoginBind(employe, weakpassword)
  
  
  
  
  if err == nil {
  
  
  
  
   fmt.Println(employe + " 使用的密碼為: " + weakpassword)
  
  
  
  
  }
  
  
  
  
 }
  
  
  
  
 if err := scanner.Err(); err != nil {
  
  
  
  
  fmt.Println(err)
  
  
  
  
 }
  
  
  
  
 fmt.Println(employe + " check have aleardy finished. and the password is stronger well.")
  
  
  
  

  
  
  
  
}
 
 
 
 

結(jié)合前面說(shuō)的遍歷賬號(hào)，拿到所有的賬號(hào)的信息，然后模擬登錄，如果命中了弱密碼字典中的密碼，就打印出來(lái)

 
 
 
 

  
  
  
  
func main() {
  
  
  
  
 con, err := LoginBind("admin", "admin123")
  
  
  
  
 if err != nil {
  
  
  
  
  fmt.Println("V")
  
  
  
  
  fmt.Println(err)
  
  
  
  
 }
  
  
  
  
 employees, err := GetEmployees(con)
  
  
  
  
 if err != nil {
  
  
  
  
  fmt.Println(err)
  
  
  
  
 }
  
  
  
  
 Whitelist := []string{"zhangsan","lisi"}
  
  
  
  
 for _, employe := range employees {
  
  
  
  
  fmt.Println("Starting check: ", employe)
  
  
  
  
  index := arrays.ContainsString(Whitelist, employe)
  
  
  
  
  if index == -1 {
  
  
  
  
   CheckPassword(employe)
  
  
  
  
  } else {
  
  
  
  
   fmt.Println(employe + " in whitelist. skiping...")
  
  
  
  
  }
  
  
  
  
  fmt.Println(employe)
  
  
  
  
 }
  
  
  
  
}
 
 
 
 

但是這樣實(shí)際就是在攻擊自己的服務(wù)，這里就會(huì)產(chǎn)生兩個(gè)問(wèn)題:

用戶越多，弱密碼字典里面的密碼越多，檢查的次數(shù)也就越多，耗時(shí)也就越長(zhǎng)

每次模擬登錄，實(shí)際上就會(huì)創(chuàng)建一個(gè)連接，雖然連接認(rèn)證失敗，但是也無(wú)疑加重服務(wù)器連接創(chuàng)建和銷毀的資源損耗，你有調(diào)優(yōu)思路沒(méi)?

參考資料

[1]go-ldap: https://github.com/go-ldap/ldap

[2]go-ldap v3@3.1.0: https://pkg.go.dev/gopkg.in/ldap.v3@v3.1.0#section-readme

[3]osixia/openldap鏡像倉(cāng)庫(kù): https://hub.docker.com/r/osixia/openldap/tags

新聞名稱：用Go寫(xiě)的輕量級(jí)OpenLdap弱密碼檢測(cè)工具
網(wǎng)站路徑：http://www.dlmjj.cn/article/cdigccd.html