Java添加、修改MS AD用户密码&配置AD、CA、SSL,绑定keystore

转载 2012年03月23日 14:56:21

在这就简单的介绍一下配置过程,未提到的设置基本就都采用默认即可。

1)安装AD:
开始 -> 运行 -> dcpromote
域名: testad.com.cn
NT域名: ldap
即 Fully Qualified Domain Name (FQDN) 为 ldap.testad.com.cn
注意,一定要先安装 IIS , 再安装 CA.
2)安装 IIS:
开始-> 程序 -> 管理工具 -> 配置您的服务器向导 -> 应用服务器 (IIS, ASP.NET)
进入 http:// ldap.testad.com.cn /iisstart.htm 表示安装成功.
3)安装CA:
开始-> 设置 -> 控制面板-> 添加或删除程序 ->添加/删除Windows组件 -> 证书服务
选择 企业根CA
共用名称 CA: testca
进入 http:// ldap.testad.com.cn /CertSrv 表示安装成功.
4)生成证书请求:
开始->程序->管理工具-> Internet 信息服务 (IIS) 管理器 -> Internet信息服务-> (本地计算机) -> 网站
->  右键点选 默认网站 -> 属性 ->选择 "目录安全性" -> 服务器证书
->新建证书 -> 准备证书,但稍后发送
公共名称最好设置为 ldap.testad.com.cn, 这是给使用者连ssl 的 站点.
最后产生证书请求文件 , 默认为c:/certreq.txt
5)在CA上请求证书:
进入 http:// ldap.testad.com.cn /CertSrv
按 申请一个证书 -> 高级证书申请
-> 使用 base64 编码的 CMC 或 PKCS #10 文件提交一个证书申请,或使用 base64 编码的 PKCS #7 文件续订证书申请。
使用 记事本 打开 c:/certreq.txt , copy c:/certreq.txt 内容贴至 保存的申请:
证书模板 选择 Web 服务器, 按 提交
然后点选 下载证书 , 将 certnew.cer 储存至 c:/certnew.cer
6)安装证书:
开始->程序->管理工具-> Internet 信息服务 (IIS) 管理器 -> Internet信息服务-> (本地计算机) -> 网站
->  右键点选默认网站->属性 -> 选择 "目录安全性" ->服务器证书
->处理挂起的请求,安装证书 -> 路径和文件名: c:/certnew.cer
网站SSL 端口: 443
7)将 CA 证书 加入至keystore 里:
进入 http:// ldap.testad.com.cn /CertSrv
点选 下载一个 CA 证书,证书链或 CRL
点选 下载 CA 证书, 然后下载并改名为 c:/ca_cert.cer
安装CA后LDAP服务器C盘根目录会生成一文件ldap.testad.com.cn_testca.crt
然后执行 命令:
keytool -import -keystore "c:/testca.keystore" -file "ldap.testad.com.cn_testca.crt" -storepass "changeit"
keytool -import -keystore "c:/testca.keystore" -alias mkey -file "c:/ca_cert.cer" -storepass "changeit"
出现 Trusted this certificate? 按 "y" 即新增成功.

但经过个人的测试,其实只需使用ldap.testad.com.cn_testca.crt这个证书就可以连接上SSL AD 636。

 

代码。
import java.io.UnsupportedEncodingException;
import java.util.Hashtable;

import javax.naming.Context;
import javax.naming.NamingEnumeration;
import javax.naming.NamingException;
import javax.naming.directory.Attribute;
import javax.naming.directory.Attributes;
import javax.naming.directory.BasicAttribute;
import javax.naming.directory.DirContext;
import javax.naming.directory.ModificationItem;
import javax.naming.directory.SearchControls;
import javax.naming.directory.SearchResult;
import javax.naming.ldap.InitialLdapContext;
import javax.naming.ldap.LdapContext;

public class OpAD{

 private LdapContext ctx = null;

 private String adminName = "administrator@testad.com";

 private String adminpassword = "password";

 private String keystore = "C:/testca.keystore";

 private String keyPassword = "changeit";

 private String ldapURL = "ldaps://ldap.testad.com:636";

 private String searchBase = "DC=testad,DC=com";

 private String returnedAtts[] = { "distinguishedName" };

 private boolean initial_Ldap() {

  Hashtable env = new Hashtable();
  System.setProperty("javax.net.ssl.trustStore", keystore);
  System.setProperty("javax.net.ssl.trustStorePassword", keyPassword);
  env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.ldap.LdapCtxFactory");
  env.put(Context.SECURITY_AUTHENTICATION, "simple");
  env.put(Context.SECURITY_PRINCIPAL, adminName);
  env.put(Context.SECURITY_CREDENTIALS, adminpassword);
  env.put(Context.SECURITY_PROTOCOL, "ssl");
  env.put(Context.PROVIDER_URL, ldapURL);

  try {
   System.out.println("Start InitialLdapContext");
   ctx = new InitialLdapContext(env, null);
   System.out.println("InitialLdapContext succeed");
  } catch (NamingException e) {
   System.out.println("Problem initial_Ldap NamingException: " + e);
   return false;
  }

  return true;
 }

 private boolean close_Ldap() {
  System.out.println("Close Ldap");
  try {
   ctx.close();
  } catch (NamingException e) {
   System.out.println("Problem close_Ldap NamingException: " + e);
   return false;
  }
  return true;
 }

 private String search_distinguishedName(String username) {
  String searchFilter = "(&(objectClass=user)(cn=" + username + "))";

  try {
   System.out.println("Start search " + username + "'s distinguishedName");
   SearchControls searchCtls = new SearchControls();
   searchCtls.setSearchScope(SearchControls.SUBTREE_SCOPE);
   searchCtls.setReturningAttributes(returnedAtts);
   NamingEnumeration answer = ctx.search(searchBase, searchFilter,
     searchCtls);
   if (answer.hasMoreElements()) {
    SearchResult sr = (SearchResult) answer.next();
    Attributes attrs = sr.getAttributes();
    if (attrs != null) {
     NamingEnumeration ae = attrs.getAll();
     Attribute attr = (Attribute) ae.next();
     NamingEnumeration e = attr.getAll();
     return (String) e.next();
    }
   }
  } catch (NamingException e) {
   System.out
     .println("Problem search_distinguishedName NamingException: " + e);
   return "error";
  }

  return "none";
 }

 private boolean mod_Pwd(String username, String password) {
  ModificationItem[] mods = new ModificationItem[1];
  String newQuotedPassword = "/"" + password + "/"";

  try {
   System.out.println("Start reset password");
   byte[] newUnicodePassword = newQuotedPassword.getBytes("UTF-16LE");
   mods[0] = new ModificationItem(DirContext.REPLACE_ATTRIBUTE,
     new BasicAttribute("unicodePwd", newUnicodePassword));
   ctx.modifyAttributes(username, mods);
   System.out.println("Finish reset password" + username);
  } catch (UnsupportedEncodingException e) {
   System.out.println("Problem mod_Pwd UnsupportedEncodingException: " + e);
   return false;
  } catch (NamingException e) {
   System.out.println("Problem mod_Pwd NamingException: " + e);
   return false;
  }

  return true;
 }

 public static void main(String args[]) {
  OpAD inst = new OpAD();
  inst.initial_Ldap();
  String username = inst.search_distinguishedName("testuser"); 
  inst.mod_Pwd(username, "1234AbcD");
  inst.close_Ldap();
  
 }

}

 

JAVA修改AD账号密码

JAVA修改AD账号密码 一、生成JKS文件 1、下载AD域的根证书,访问https://10.1.0.10:636 (需要IE6导出根证书)。只需要根证书; 2、生成JKS。使用KEYTOOL工具生...

LDAP用户验证(Spring-LDAP)

LDAP-Lightweight Directory Access Protocol。LDAP服务器可以是任何一个开源或商用的LDAP目录服务器,而客户端都可以使用同样的协议、客户端连接软件包和查询命...
  • educast
  • educast
  • 2015年06月15日 13:16
  • 1440

LDAP SSL 连接

使用SSL来连接LDAP server有多种方法(http://yagodnoe.ifmo.ru/~ad/Documentation/jndi-1_4_2-tutorial/ldap/security...

C#修改AD域的用户密码时报“调用的目标发生了异常”的问题。

为了帮助网友解决“C#修改AD域的用户密码时报“调用的目标”相关的问题,中国学网通过互联网对“C#修改AD域的用户密码时报“调用的目标”相关的解决方案进行了整理,用户详细问题包括:异常密码c#计算机程...

配置泛微OA支持修改AD密码

AD目前限制要通过第三方程序,比如自己开发JAVA程序进行AD密码的修改,需要通过AD的SSL通道进行。 故配置泛微OA支持通过OA直接修改AD密码需要以下2大步骤 1、AD域控服务启用SSL通道...

java对AD域的密码修改!!证书导入!!!

最近公司要用Java进行AD操作,其他操作都能实现,网上都能找得到。 但就是关于密码的修改,还有用户的启用操作不能用。 后来得知需要安装证书!导入证书!使用SSL协议! 网上这方面的...

用IIS6.0的密码修改功能修改AD用户密码

第1步:在WSS站点下建立一个虚拟目录“IISADMPWD”指向%system%\System32\Inetsrv\Iisadmpwd 。权限设为允许读取和运行脚本即可。实际上这时直接访问IISADM...
  • zhawuxi
  • zhawuxi
  • 2011年10月29日 23:58
  • 165

java对AD域的密码修改!!证书导入!!!

最近公司要用Java进行AD操作,其他操作都能实现,网上都能找得到。 但就是关于密码的修改,还有用户的启用操作不能用。 后来得知需要安装证书!导入证书!使用SSL协议! 网上这方面的...
  • educast
  • educast
  • 2015年06月12日 22:17
  • 819

使用java连接AD域,验证账号密码是否正确

web项目中有时候客户要求我们使用ad域进行身份确认,不再另外做一套用户管理系统。其实客户就是只要一套账号可以访问所有的OA,CRM等办公系统。 这就是第三方验证。一般有AD域,Ldap,Radius...
  • ycb1689
  • ycb1689
  • 2015年07月07日 17:44
  • 1180
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:Java添加、修改MS AD用户密码&配置AD、CA、SSL,绑定keystore
举报原因:
原因补充:

(最多只允许输入30个字)