[[426727]]

1 Go連接LDAP服務(wù)

通過(guò)go操作的ldap,這里使用到的是go-ldap[1]包，該包基本上實(shí)現(xiàn)了ldap v3的基本功能. 比如連接ldap服務(wù)、新增、刪除、修改用戶信息等，支持條件檢索的ldap庫(kù)中存儲(chǔ)的數(shù)據(jù)信息。

2 下載

go get github.com/go-ldap/ldap/v3 
go get github.com/wxnacy/wgo/arrays 

使用go-ldap包，可以在gopkg.in/ldap.v3@v3.1.0#section-readme[2]查看說(shuō)明文檔

3 準(zhǔn)備LDAP環(huán)境

這里通過(guò)docker-compose運(yùn)行一個(gè)臨時(shí)的ldap實(shí)驗(yàn)環(huán)境,

version: "3" 
services: 
  ldap: 
    image: osixia/openldap:latest 
    container_name: openldap 
    hostname: openldap 
    restart: always 
    environment: 
      - "LDAP_ORGANISATION=devopsman" 
      - "LDAP_DOMAIN=devopsman.cn" 
      - "LDAP_BASE_DN=dc=devopsman,dc=cn" 
      - "LDAP_ADMIN_PASSWORD=admin123" 
    ports: 
      - 389:389 
      - 636:636 

可以按需修改對(duì)應(yīng)的環(huán)境變量信息.可以在hub.docker.com[3]找到指定版本的鏡像信息. 現(xiàn)在創(chuàng)建一下openldap并且檢查一下服務(wù)的是否正常:

4 GO-LDAP案例實(shí)踐

創(chuàng)建用戶

在pkg.go.dev文檔中查看，有一個(gè)Add方法可以完成創(chuàng)建用戶的操作，但是需要一個(gè)AddRequest參數(shù)，而NewAddRequest方法可以返回AddRequest，于是按照此思路梳理一下。

首先要建立與openldap之間的連接，驗(yàn)證賬號(hào)是否正常，同時(shí)此賬號(hào)要有創(chuàng)建的權(quán)限。

// LoginBind  connection ldap server and binding ldap server 
func LoginBind(ldapUser, ldapPassword string) (*ldap.Conn, error) { 
 l, err := ldap.DialURL(ldapURL) 
 if err != nil { 
  return nil, err 
 } 
 _, err = l.SimpleBind(&ldap.SimpleBindRequest{ 
  Username: fmt.Sprintf("cn=%s,dc=devopsman,dc=cn", ldapUser), 
  Password: ldapPassword, 
 }) 
 
 if err != nil { 
  fmt.Println("ldap password is error: ", ldap.LDAPResultInvalidCredentials) 
  return nil, err 
 } 
 fmt.Println(ldapUser,"登錄成功") 
 return l, nil 
} 

其次，創(chuàng)建用戶，需要準(zhǔn)備用戶的姓名、密碼、sn、uid、gid等信息，可以創(chuàng)建一個(gè)struct結(jié)構(gòu)

type User struct { 
 username    string 
 password    string 
 telephone   string 
 emailSuffix string 
 snUsername  string 
 uid         string 
 gid         string 
} 

通過(guò)go-ldap包提供的NewAddRequest方法，可以返回新增請(qǐng)求

func (user *User) addUser(conn *ldap.Conn) error { 
 ldaprow := ldap.NewAddRequest(fmt.Sprintf("cn=%s,dc=devopsman,dc=cn", user.username), nil) 
 ldaprow.Attribute("userPassword", []string{user.password}) 
 ldaprow.Attribute("homeDirectory", []string{fmt.Sprintf("/home/%s", user.username)}) 
 ldaprow.Attribute("cn", []string{user.username}) 
 ldaprow.Attribute("uid", []string{user.username}) 
 ldaprow.Attribute("objectClass", []string{"shadowAccount", "posixAccount", "account"}) 
 ldaprow.Attribute("uidNumber", []string{"2201"}) 
 ldaprow.Attribute("gidNumber", []string{"2201"}) 
 ldaprow.Attribute("loginShell", []string{"/bin/bash"}) 
 
 if err := conn.Add(ldaprow); err != nil { 
  return err 
 } 
 return nil 
} 

最后，我們就可以通過(guò)實(shí)例化User這個(gè)對(duì)象，完成用戶的創(chuàng)建了:

func main() { 
 con, err := LoginBind("admin", "admin123") 
 fmt.Println(con.IsClosing()) 
 if err != nil { 
  fmt.Println("V") 
  fmt.Println(err) 
 } 
 var user User 
 user.username="marionxue" 
 user.password="admin123" 
 user.snUsername="Marionxue" 
 user.uid="1000" 
 user.gid="1000" 
 user.emailSuffix="@qq.com" 
 
 if err=user.addUser(con);err!=nil{ 
  fmt.Println(err) 
 } 
 fmt.Println(user.username,"創(chuàng)建完成!") 
} 

最后運(yùn)行就可以創(chuàng)建用戶

... 
/private/var/folders/jl/9zk5nj316rlg_0svp07w6btc0000gn/T/GoLand/___go_build_github_com_marionxue_go30_tools_go_openldap 
admin登錄成功 
marionxue 創(chuàng)建完成! 

遍歷用戶

遍歷用戶依舊需要與openLDAP建立連接，因此我們復(fù)用LoginBind函數(shù)，創(chuàng)建一個(gè)獲取賬號(hào)的函數(shù)GetEmployees

func GetEmployees(con *ldap.Conn) ([]string, error) { 
 var employees []string 
 sql := ldap.NewSearchRequest("dc=devopsman,dc=cn", 
  ldap.ScopeWholeSubtree, 
  ldap.NeverDerefAliases, 
  0, 
  0, 
  false, 
  "(objectClass=*)", 
  []string{"dn", "cn", "objectClass"}, 
  nil) 
 
 cur, err := con.Search(sql) 
 if err != nil { 
  return nil, err 
 } 
 
 if len(cur.Entries) > 0 { 
  for _, item := range cur.Entries { 
   cn := item.GetAttributeValues("cn") 
   for _, iCn := range cn { 
    employees = append(employees, strings.Split(iCn, "[")[0]) 
   } 
  } 
  return employees, nil 
 } 
 return nil, nil 
} 

我們通過(guò)NewSearchRequest檢索BaseDB為dc=devopsman,dc=cn下的賬號(hào)信息,最后將用戶名cn打印出來(lái)

func main() { 
 con, err := LoginBind("admin", "admin123") 
 if err != nil { 
  fmt.Println("V") 
  fmt.Println(err) 
 } 
 employees, err := GetEmployees(con) 
 if err != nil { 
  fmt.Println(err) 
 } 
 for _, employe := range employees { 
  fmt.Println(employe) 
 
 } 
} 

結(jié)果就是我們前面創(chuàng)建的一個(gè)用戶

marionxue 

刪除賬號(hào)

同樣的思路，然后創(chuàng)建一個(gè)刪除方法delUser

// delUser 刪除用戶 
func (user *User) delUser(conn *ldap.Conn) error{ 
 ldaprow := ldap.NewDelRequest(fmt.Sprintf("cn=%s,dc=devopsman,dc=cn",user.username),nil) 
 
 if err:= conn.Del(ldaprow);err!=nil{ 
  return err 
 } 
 return nil 
} 

然后在main函數(shù)中調(diào)用

func main() { 
 con, err := LoginBind("admin", "admin123") 
 if err != nil { 
  fmt.Println("V") 
  fmt.Println(err) 
 } 
 employees, err := GetEmployees(con) 
 if err != nil { 
  fmt.Println(err) 
 } 
 var user User 
 user.username="marionxue" 
 
 if err:=user.delUser(con);err!=nil{ 
  fmt.Println("用戶刪除失敗") 
 } 
 fmt.Println(user.username,"用戶刪除成功!") 
} 

運(yùn)行結(jié)果:

admin登錄成功 
marionxue 用戶刪除成功! 

弱密碼檢查

默認(rèn)情況下，在ldap中創(chuàng)建用戶，并沒(méi)有密碼復(fù)雜度的約束，因此對(duì)已存在ldap服務(wù)中使用弱密碼的賬號(hào)有什么好辦法能獲取出來(lái)嗎?ldap的賬號(hào)一旦創(chuàng)建，就看不到密碼了，如果用弱密碼字典模擬登錄的話，是否可行呢?

創(chuàng)建一個(gè)檢查密碼的函數(shù)CheckPassword，通過(guò)逐行讀取弱密碼詞典的數(shù)據(jù)進(jìn)行的模擬登錄，從而找到ldap中使用弱密碼的賬號(hào)：

func CheckPassword(employe string) { 
 // 遍歷的弱密碼字典 
 f, err := os.Open("~/dict.txt") 
 if err != nil { 
  fmt.Println("reading dict.txt error: ", err) 
 } 
 defer f.Close() 
 scanner := bufio.NewScanner(f) 
 for scanner.Scan() { 
  weakpassword := scanner.Text() 
  _, err := LoginBind(employe, weakpassword) 
  if err == nil { 
   fmt.Println(employe + " 使用的密碼為: " + weakpassword) 
  } 
 } 
 if err := scanner.Err(); err != nil { 
  fmt.Println(err) 
 } 
 fmt.Println(employe + " check have aleardy finished. and the password is stronger well.") 
 
} 

結(jié)合前面說(shuō)的遍歷賬號(hào)，拿到所有的賬號(hào)的信息，然后模擬登錄，如果命中了弱密碼字典中的密碼，就打印出來(lái)

func main() { 
 con, err := LoginBind("admin", "admin123") 
 if err != nil { 
  fmt.Println("V") 
  fmt.Println(err) 
 } 
 employees, err := GetEmployees(con) 
 if err != nil { 
  fmt.Println(err) 
 } 
 Whitelist := []string{"zhangsan","lisi"} 
 for _, employe := range employees { 
  fmt.Println("Starting check: ", employe) 
  index := arrays.ContainsString(Whitelist, employe) 
  if index == -1 { 
   CheckPassword(employe) 
  } else { 
   fmt.Println(employe + " in whitelist. skiping...") 
  } 
  fmt.Println(employe) 
 } 
} 

但是這樣實(shí)際就是在攻擊自己的服務(wù)，這里就會(huì)產(chǎn)生兩個(gè)問(wèn)題:

用戶越多，弱密碼字典里面的密碼越多，檢查的次數(shù)也就越多，耗時(shí)也就越長(zhǎng)

每次模擬登錄，實(shí)際上就會(huì)創(chuàng)建一個(gè)連接，雖然連接認(rèn)證失敗，但是也無(wú)疑加重服務(wù)器連接創(chuàng)建和銷(xiāo)毀的資源損耗，你有調(diào)優(yōu)思路沒(méi)?

參考資料

[1]go-ldap: https://github.com/go-ldap/ldap

[2]go-ldap v3@3.1.0: https://pkg.go.dev/gopkg.in/ldap.v3@v3.1.0#section-readme

[3]osixia/openldap鏡像倉(cāng)庫(kù): https://hub.docker.com/r/osixia/openldap/tags