有哪些专门做减肥内容的网站,做公司官网需要什么条件,wordpress自动加载,263企业邮箱网页版登录java ldap操作实例LDAP身份验证是世界上最流行的企业应用程序身份验证机制之一#xff0c;而Active Directory #xff08;Microsoft为Windows提供的LDAP实现#xff09;是另一种广泛使用的LDAP服务器。 在许多项目中#xff0c;我们需要通过登录屏幕中提供的凭据使用LDAP对… java ldap操作实例 LDAP身份验证是世界上最流行的企业应用程序身份验证机制之一而Active Directory Microsoft为Windows提供的LDAP实现是另一种广泛使用的LDAP服务器。 在许多项目中我们需要通过登录屏幕中提供的凭据使用LDAP对活动目录进行身份验证 。 有时由于实现和集成过程中会遇到各种问题 并且没有进行LDAP身份验证的标准方法因此此简单任务会变得棘手。 Java提供了LDAP支持但是在本文中我将主要讨论spring安全性因为它是我首选的Java框架用于进行身份验证授权和安全性相关的工作。 通过编写用于执行LDAP搜索然后进行LDAP绑定的程序我们可以在Java中做同样的事情但是正如我所说的当您使用Spring Security进行LDAP身份验证时它变得更加容易和简洁。 除了LDAP支持外Spring Security还提供了企业Java应用程序所需的其他一些功能包括SSL安全性密码加密和会话超时功能。 1. LDAP认证基础 在深入了解Active Directory上的LDAP身份验证之前让我们熟悉一些LDAP术语因为大多数时间用户是第一次使用它并且他们对典型的LDAP词汇表例如DnOuBind或搜索等不太熟悉。 Dn –专有名称 唯一名称用于在LDAP服务器例如Microsoft Active Directory中查找用户。 OU –组织单位 绑定– LDAP绑定是一种操作其中LDAP客户端将bindRequest发送给包括用户名和密码在内的LDAP用户并且如果LDAP服务器能够正确找到用户名和密码则它允许访问LDAP服务器。 搜索– LDAP搜索是通过使用某些用户凭证来检索用户的Dn的操作。 根 – LDAP目录的顶部元素例如树的根。 BaseDn – LDAP树中的一个分支可用作LDAP搜索操作的基础例如dc Microsoftdc org 如果您想了解有关LDAP的更多信息请查看此链接其中包含有关LDAP的详细信息。 2. Active Directory Spring Security中的LDAP身份验证 在Spring安全性中有两种方法可以使用LDAP协议实现活动目录身份验证第一种方法是编程和声明性方法需要一些编码和一些配置。 另一方面第二种方法是Spring Security提供的现成解决方案只需配置ActireDirectoryAuthenticationProvider 就可以完成。 我们将看到两种方法但是我建议使用第二种方法因为第二种方法简单易用。 2.1在Spring Security中使用LDAP进行Active Directory身份验证-示例1 组态 将以下配置添加到您的spring application-context.xml文件中我建议将此配置与其他与安全相关的内容一起放在单独的application-context-security.XML文件中。 1配置LDAP服务器 为了配置LDAP服务器请将以下XML代码段放入Spring安全配置文件中 s:ldap-server urlldap://stockmarket.com //ldap urlport389 //ldap portmanager-dnserviceAcctountsotckmarket.com //manager usernamemanager-passwordAD83DgsSe //manager password
/ 此配置是不言自明的但是有关管理器dn和密码 活动目录或任何其他LDAP目录上的LDAP身份验证的简短说明仅需两步首先需要执行LDAP搜索以找到用户的Dn专有名称然后进行LDAP搜索。然后该Dn用于执行LDAP绑定。 如果绑定成功则用户身份验证成功否则它将失败。 有些人比LDAP绑定更喜欢密码的远程比较 但是LDAP绑定是您最不希望做的事情。 Active Directory的大部分内容都不允许匿名搜索操作因此要执行LDAP搜索您的服务必须具有LDAP帐户这是我们在此提供的manager-in和manager-password.property。 在Summary中 现在将通过以下步骤完成LDAP登录 您的服务或应用程序使用manager-dn和manager-password与LDAP绑定。 LDAP搜索用户以找到UserDn 使用UserDn进行LDAP绑定 到此完成了LDAP登录部分。 现在让我们进入配置LDAP身份验证提供程序的下一部分。 2配置LDAP身份验证提供程序 本节在spring-security中指定了各种身份验证提供程序在这里您可以看到LDAP身份验证提供程序并且我们使用userPrincipalName在Microsoft Active目录中搜索用户。 s:authentication-manager erase-credentialstrue
s:ldap-authentication-provideruser-search-basedcstockmarketindia,dctraderuser-search-filteruserPrincipalName{0}
/s:authentication-provider refspringOutOfBoxActiveDirecotryAuthenticationProvider/
/s:authentication-manager 现在需要一小段编码来传递userPrincipalName并验证用户。 public boolean login(String username, String password) {AndFilter filter new AndFilter();ldapTemplate.setIgnorePartialResultException(true); // Active Directory doesn’t transparently handle referrals. This fixes that.filter.and(new EqualsFilter(userPrincipalName, username));return ldapTemplate.authenticate(dcstockmarketindia,dctrader, filter.toString(), password);} 第2行在该程序中非常重要因为我花了一整天的时间来弄清楚我的应用程序何时反复抛出javax.naming.PartialResultException未处理的连续引用您也可以对搜索用户使用sAMAccountName userPrincipalName和sAMAccountName都是唯一的在Active Directory中。 在此最重要的是它必须是全名例如name domain例如jimmystockmarket.com。 authenticate()方法将根据绑定操作的结果返回true或false。 2.2在Spring Security中使用LDAP的Active Directory身份验证-更简单的示例 第二种方法更简单更清洁因为它是开箱即用的您只需要配置LDAP服务器URL和域名即可使用就像奶油一样。 s:authentication-manager erase-credentialstrues:authentication-provider refldapActiveDirectoryAuthProvider/
/s:authentication-managerbean idldapActiveDirectoryAuthProvider
classorg.springframework.security.ldap.authentication.ad.ActiveDirectoryLdapAuthenticationProviderconstructor-arg valuestockmarket.com / //your domainconstructor-arg valueldap://stockmarket.com/ / //ldap url
/bean 就这样完成了。 此配置将验证和加载LDAP中所有授予的权限 就像您所属的组一样。 这也与spring安全登录元素集成在一起。 2.3依赖 这个示例基于spring security 3.0我使用的是spring-ldap-1.3.1.RELEASE-all.jar和spring-security-ldap-3.1.0.RC3.jar。 如果您不知道如何下载Spring框架JAR文件请按照此Spring Framework JAR下载指南中给出的步骤进行操作该指南说明了如何从Maven Central下载Spring框架和其他相关的JAR。 2.4 LDAP身份验证期间的错误 您需要非常幸运地完成针对Active Directory的LDAP身份验证而没有任何错误或异常在这里我列出了我遇到的一些常见错误及其解决方案以便快速参考。 1javax.naming.PartialResultException未处理的连续引用 剩余名称dc companydc com 发生此错误是因为Microsoft Active Directory无法正确处理引用并且要解决此问题请设置此属性 ldapTemplate.setIgnorePartialResultException(true); 2javax.naming.NameNotFoundException[LDAP错误代码32 – No Such Object] 剩余的名字” 该错误经过反复尝试后得以解决并且主要是由于用户名格式无效造成的 。 它通过提供全名来解决例如jemmystockmarket.com 2.5工具 LDAP浏览器 最好使用一些工具来查看LDAP目录中的数据它可以为您提供一些可见性以及浏览LDAP中数据的方法。 它被称为LDAP浏览器网络上有很多开源的LDAP浏览器例如jexplorer。 您可以使用LDAP浏览器浏览和查看Active Directory中的数据。 2.6通过SSL的LDAP Active Directory身份验证 这非常适合对Microsoft活动目录实施LDAP身份验证。 但是您可能要引起注意的一件事是使用LDAP用户名和密码以明文形式传输到LDAP服务器任何有权访问LDAP流量的人都可以嗅探用户证书因此并不安全。 一种解决方案是使用LDAP基于SSL的LDAP协议该协议将加密LDAP客户端和服务器之间的流量。 在spring-security中这很容易做到您需要更改的是URL而不是“ ldap//stockmarket.com/ ”您需要使用“” ldaps//stockmarket.com/ 。 实际上 LDAP的端口是339 LDAPS 的端口 是636但是第二种方法在Spring已得到注意在第一种方法中您需要提供此信息。 您可能会遇到的问题是“无法找到到所请求目标的有效认证路径” 异常如下图所示 javax.net.ssl.SSLHandshakeException:
sun.security.validator.ValidatorException: PKIX path building failed:
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target 此异常的原因很简单 在SSL握手过程中返回的证书 不由在您的JRE密钥中配置的任何受信任的证书颁发机构CA 签名例如VerisignThwateGoDaddy或entrust等。相反服务器发送的证书是JRE不知道。 要解决此问题您需要将Server返回的证书添加到JRE的密钥库中。 顺便说一句如果您对密钥库和信任库感到困惑那么请阅读我关于Java中密钥库和信任库之间的区别的文章以首先了解它。 2. 7我为解决问题所做的工作 毫不奇怪我使用了一个名为InstallCert.java的开源程序它仅与您的LDAP服务器和端口一起运行它将尝试使用SSL连接LDAP服务器并首先抛出相同的“ PKIX路径构建失败” 然后抛出LDAP服务器返回的证书。 然后它将要求您将证书添加到密钥库中只需提供屏幕上显示的证书编号然后将这些证书添加到C\ Program Files \ Java \ jdk1.6.0 \ jre \ lib \ security文件夹中的“ jssecacerts ”中。 现在重新运行该程序该错误必须消失并且将打印 Loading KeyStore jssecacerts...Opening connection to stockmarket.com:636...Starting SSL handshake...No errors, the certificate is already trusted 我们已经完成了现在如果您尝试通过LDAPS进行身份验证您将成功。 即使没有Spring安全性也可以使用Java 对活动目录执行LDAP认证的其他方法。 但是我发现spring-security非常有用因此请考虑将其用于您的安全性要求。 如果您在LDAP登录期间遇到任何问题请告诉我我们将尽力为您提供帮助。 翻译自: https://www.javacodegeeks.com/2018/04/2-ways-to-setup-ldap-active-directory-authentication-in-java-spring-security-example-tutorial.htmljava ldap操作实例
