LDAP阶段性小结

最新推荐文章于 2024-07-30 10:09:16 发布
最新推荐文章于 2024-07-30 10:09:16 发布
阅读量1.5k 收藏
点赞数
分类专栏: java 文章标签: ldap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caidimin/article/details/52671093
版权
java 同时被 2 个专栏收录
13 篇文章 0 订阅
订阅专栏
mysql
4 篇文章 0 订阅
订阅专栏

经过几天的琢磨,利用LDAP实现用户共享的任务初步实现。

LDAP相关简介:

    1、快速响应和大容量查询并且提供多目录服务器的信息复制功能,它为读密集型的操作进行专门的 优化。因此,当从LDAP服务器中读取数据的时候会比从专门为OLTP优化的关系型数据库中读取数据快一个数量级。

   2、实现用户共享。即用某个第三方平台,管理公司内部的多个系统用户,同一个用户登录多个系统。

OpenLDAP服务器搭建:  下载地址:  openldap-2.2.29-db-4.3.29-openssl-0.9.8a-win32_Setup.exe

安装与配置:  推荐参考网址

1)、打开C:\Program Files\OpenLDAP \slapd.conf,找到ucdata-path    ./ucdata
        include  ./schema/core.schema,在它后面添加
        include  ./schema/cosine.schema
        include  ./schema/inetorgperson.schema

2)、下面我们做一个示例:需要在 slapd.conf 配置文件中,找到
       suffix  “dc=my-domain,dc=com”
       rootdn  “cn=Manager,dc=my-domain,dc=com”
     把这两行改为
       suffix     "dc=mycompany,dc=com"
       rootdn   "cn=Manager,dc=mycompany,dc=com"

3. 启动 OpenLDAP . CMD 进入到C:\Program Files\OpenLDAP 下,
        1)、启动OpenLDAP-slapd服务:作用在于开机自动启动该服务项
      slapd install OpenLDAP-slapd “OpenLDAP Directory Service” auto net start OpenLDAP-slapd
      NOTE: the “slapd install” is only needed if you didn’t choose the “create NTservice” option during installation.
      当你完成这一步后,下次开机的时候就自动启动LDAP的服务了,不必再次手动启动。(此步也可以忽略不做!)
        2)、启动OpenLDAP服务器在cmd下运行:slapd -d 1

OpenAdmin客服端: 下载地址: LdapAdmin.exe  。  我下载的版本是LdapAdminExe-w64-1.7.1.zip。功能是没问题,可视化效果不好。

      也可用LdapBrowser ,这个没试过,可能管理会方便得多。

      打开LdapAdmin.exe文件

     

那么就你可以按照自己的目录设计修改一下压缩包目录中的init.ldif文件,并通过LDAP Admin->Tool->Import …菜单,导入init.ldif,实现top组织的添加。当然,你也可以通过命令窗口导入ldif文件,如:ldapadd -l init.ldif

dn: dc=mycompany,dc=com
objectClass: top
objectClass: dcObject
objectClass: domain
dc: mycompany
userPassword: {CRYPT}$1$Vd5g.O/y$g34U3EEuhAh.2g2q0E1TN/

dn: ou=roles,dc=mycompany,dc=com
objectClass: top
objectClass: organizationalUnit
ou: roles

dn: ou=people,dc=mycompany,dc=com
objectClass: top
objectClass: organizationalUnit
ou: people

dn: cn=Test Users,ou=roles,dc=mycompany,dc=com
objectClass: groupOfUniqueNames
cn: Test Users
uniqueMember: uid=sspecial,ou=people,dc=mycompany,dc=com
uniqueMember: uid=jbloggs,ou=people,dc=mycompany,dc=com

dn: cn=Special Users,ou=roles,dc=mycompany,dc=com
objectClass: groupOfUniqueNames
cn: Special Users
uniqueMember: uid=sspecial,ou=people,dc=mycompany,dc=com

dn: cn=Admin Users,ou=roles,dc=mycompany,dc=com
objectClass: groupOfUniqueNames
cn: Admin Users
uniqueMember: uid=admin,ou=people,dc=mycompany,dc=com

dn: uid=admin,ou=people,dc=mycompany,dc=com
objectClass: person
objectClass: inetOrgPerson
cn: State App
displayName: App Admin
givenName: App
mail: admin@fake.org
sn: Admin
uid: admin
userPassword: adminpassword

dn: uid=jbloggs,ou=people,dc=mycompany,dc=com
objectClass: person
objectClass: inetOrgPerson
cn: Joe Bloggs
displayName: Joe Bloggs
givenName: Joe
mail: jbloggs@fake.org
sn: Bloggs
uid: jbloggs
userPassword: password

dn: uid=sspecial,ou=people,dc=mycompany,dc=com
objectClass: person
objectClass: inetOrgPerson
cn: Super Special
displayName: Super Special
givenName: Super
mail: sspecial@fake.org
sn: Special
uid: sspecial
userPassword: password

dn: ou=sdmc,dc=mycompany,dc=com
objectClass: organizationalUnit
objectClass: top
ou: sdmc

dn: cn=DEMO,ou=sdmc,dc=mycompany,dc=com
gidNumber: 500
objectClass: posixGroup
objectClass: top
cn: DEMO

dn: cn=cai dimin,ou=sdmc,dc=mycompany,dc=com
givenName: cai
sn: dimin
cn: cai dimin
uid: cdimin
userPassword: {MD5}4QrcOUm6Wau+VuBX8g+IPg==
uidNumber: 1000
gidNumber: 500
homeDirectory: /home/users/cdimin
loginShell: /bin/sh
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: top
mail: 724801286@qq.com

dn: cn=ldapsdmc,ou=sdmc,dc=mycompany,dc=com
cn: ldapsdmc
telephoneNumber: 18682135083
l: sz
objectClass: organizationalRole
objectClass: top
phpldapadmin客户端(版本1.2.3) 
    a.官网下载源码放入WEB目录下:http://phpldapadmin.sourceforge.net/wiki/index.php/Download
    b.安装依赖的扩展gettext ldap这2个扩展
    c.按需配置 源码目录下config/config.php ( 需要取消注释的配置有)

          $servers->setValue('server','name','My LDAP Server');
          $servers->setValue('server','host','10.10.121.8');
          $servers->setValue('server','base',array('dc=mycompany,dc=com'));
          $servers->setValue('login','auth_type','session');
          $servers->setValue('login','bind_id','cn=Manager,dc=mycompany,dc=com');
          $servers->setValue('login','bind_pass','secret');) //空时,每次登录时,要手动输入

 注意:在运行时,由于PHP版本是5.6,不兼容正则的'/e',则preg_replace() ->preg_replace_callback() ,

          $a[$key] = preg_replace('/\\\([0-9A-Fa-f]{2})/e',"''.chr(hexdec('\\1')).''",$rdn);
          $a[$key] = preg_replace_callback('/\\\([0-9A-Fa-f]{2})/',function($r) { return ''.chr(hexdec($r[0])).'' ; },$rdn);

 还有 password_hash()->passwordhash()

公司内部系统连接LDAP服务器:        推荐参考网址:http://www.mzone.cc/article/621.html

spring-ldap-xml文件

<?xml version="1.0" encoding="UTF-8"?>  
<!DOCTYPE beans PUBLIC "-//SPRING//DTD BEAN//EN" "http://www.springframework.org/dtd/spring-beans.dtd">  
<beans>  
    <!-- ldap -->
	<bean id="contextSource"  
        class="org.springframework.ldap.core.support.LdapContextSource">  
        <property name="url" value="ldap://10.10.121.8:389" />  
        <property name="base" value="dc=mycompany,dc=com" />  
        <property name="userDn" value="cn=Manager,dc=mycompany,dc=com" />  
        <property name="password" value="secret" />  
    </bean>  
    <bean id="ldapTemplate"  class="org.springframework.ldap.core.LdapTemplate">  
        <constructor-arg ref="contextSource" />  
    </bean>  
  
    <bean id="userLdapDao" class="com.sdmc.basecms.ldap.UserDaoLdapImpl">  
        <property name="ldapTemplate" ref="ldapTemplate"/>  
    </bean>  
    <!-- end ldap -->  
</beans>
Ldap.java 

	public static Object init(){
		ApplicationContext cxt = new ClassPathXmlApplicationContext("spring-ldap.xml");  
	 	userLdapDao = (UserDaoLdapImpl)cxt.getBean("userLdapDao");
	 	return userLdapDao ;
	}
UserDaoLdapImpl.java 

        @SuppressWarnings("unchecked")
	public LdapUser getLdapUserByuid(User user) {
		// TODO Auto-generated method stub
	     byte[] bytes=(byte[])DigestUtils.md5( user.getPassword() );     
   	     String passwordValue=new String(bytes);
	     String filter = "(&(uid=" + user.getUsername()+"))";
	     List<LdapUser> list = ldapTemplate.search("ou=sdmc", filter, new AttributesMapper() { @Override
	     public Object mapFromAttributes(Attributes attributes) throws NamingException {
	        	LdapUser ldapuser = new LdapUser();
		        Attribute attr = attributes.get("gidnumber");
		        if(attr!=null ){
		            ldapuser.setRoleId(   attr.get()+""   );
                	}attr = attributes.get("userpassword");
		            if(attr!=null ){
		            byte[] bytes=(byte[])attr.get();     
		            String passwordValue=new String(bytes);
		            ldapuser.setPassword( passwordValue );
                	}
		        attr = attributes.get("cn");
		        if(attr!=null ){
		            	ldapuser.setCn( attr.get()+"" );
                	}attr = attributes.get("mail");
		            if(attr!=null ){
		            ldapuser.setMail( attr.get()+"" );
                	}
		      return ldapuser;
		}
	    });
        if (list.isEmpty()) return null;
	    return list.get(0);
	}


        1-LDAP服务器——已搭建好
        2-phpldapadmin系统——已安装上(能操作LDAP的用户)
        3-应用系统(CMS)——含有自己的用户及角色权限(也能操作到LDAP的用户)


        总结:通过phpldapadmin管理LDAP上的用户实体,在CMS登录时,用该用户实体,实现CMS的登录鉴权验证和权限控制。

我的想法是:由于CMS存在一个用户表,表中有些字段在CMS系统操作时是有用的,CMS登录的时候,通过username,先去查询LDAP是否存在该用户,查密码等。 通过ldap分组名(唯一)获取cms中角色的权限。

        1、LDAP存在,且CMS不存在该用户,就在CMS的用户表中插入用户数据,再按照CMS原来流程的登录

        2、LDAP不存在,直接按照CMS原来流程的登录

说明:phpldapadmin系统对用户实体加密默认是MD5代码如下:   base64_encode(pack('H*',md5( password ))); 

 那么用username查出的密码,与CMS加密的密码需比较来验证 :

        String ldapPassword =  new String(Base64.decodeBase64( ldapUser.getPassword().substring(5).getBytes()),"UTF-8") ;
        String loginPassword = CommonUtil.toStringHexTest(   CommonUtil.getMd5( user.getPassword().getBytes())  ) ;
        if( !loginPassword.equals(ldapPassword) ){
               ResultVO<User> resutlVO = new ResultVO<User>();
               resutlVO.setFlag(false);
               resutlVO.setMessage("The Username Or Password On The LDAP Is incorrect!");
               return resutlVO;
       } 

                 

伄跳墻
关注
专栏目录
【DevOps工具篇】Keycloak中设置LDAP认证
欧阳天涵的专栏
04-04 1588
启用Keycloak中的LDAP身份验证后,您可以使用存储在LDAP中的用户信息实现SSO。这样,您可以轻松将原本在登录时需要引用LDAP服务器的应用程序添加到Keycloak作为SSO协作对象中。除了身份验证外,我们还尝试将存储在LDAP中的用户信息批量导入到Keycloak,或者从Keycloak向LDAP中导入用户信息。我们总结要做的三件事如下。
LDAP学习及服务器的搭建
热门推荐
qq_15117745的专栏
05-15 3万+
上星期被要求去项目支援,丫的到月份了,人都跳光了。 还得先学习,LDAP??  一个集团的人员管理系统,70几万人几十个应用服务的SSO单点关联操作,好像很牛的样子。。。 参考文档: 1.http://baike.baidu.com/link?url=qlh7cwhGpdML3mrWt9an8WFkaYSpSspLzEAEV8v30nh9Y91Zc_RmwX8_RqWiu6ekGM9
LDAP Admin工具的使用
tangsiqi130的博客
10-20 1794
LDAP Admin
12、kerberos&LDAP 安全密钥管理技术
KamRoseLee的博客
11-16 2253
1.Kerberos&amp;LDAP 简介 (1)Kerberos 是安全认证的概念,该系统设计上采用客户端/服务器结构与 DES、 AES 等加密技术,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止 reply 攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。 Kerberos 基本概念: 票据授权票据 (TGT Ticket...
Centos7安装配置OpenLDAPLDAPadmin
最新发布
墨痕诉清风的博客
07-30 485
我不知道别人为什么安装很顺利,我这里出了一些报错,多加几个命令。修改数据目录权限给ldap用户,此用户在安装时已自动创建。执行命令,有5个modifying 表示修改全部修改成功。3. 在OpenLDAP DB上配置域信息。1. yum方式安装OpenLDAP服务。3. 拷贝数据库配置配置文件,并启动服务。1. 准备加密后的密码(加了盐)ladpadmin链接测试。4. 关闭匿名用户访问。
LDAP介绍及使用
椰汁菠萝
03-29 2万+
一、LDAP介绍 目录服务(Directory Service) 目录是专门为搜索和浏览而设计的专用数据库,支持基本的查找和更新功能。 提供目录服务的方式有很多。不同的方法允许将不同类型的信息存储在目录中,对如何引用,查询和更新该信息,如何防止未经授权的访问等提出不同的要求(这些由LDAP定义)。一些目录服务是本地的,提供本地服务;一些目录服务是全球性的,向更广泛的环境(例如,整个Internet)提供服务。全局服务通常是分布式的,这意味着它们包含的数据分布在许多机器上,所有这些机器协作以提供目录服务。通常
spring-ldap学习(二)
西楚小羽的专栏
05-20 2742
上一篇介绍了搭建ldap服务,通过GUI风格的ldapsoft ldap admin tool去连接ldap服务端以及介绍了spring-ldap的增删改查,本文将介绍spring data 式的风格去编码,使代码更加简洁,之前也写过一篇spring data mongodb,点击这里查看 spring data mongodb学习以及为repository提供可扩展的自定义方法 首先我们通过l
LdapAdminTool-6.14.x-win-x64-Setup
08-23
windows下ldapadmin工具,在大多数情况下,我们对OpenLDAP的操作都是在Windows下进行的。而在Windows下连接OpenLDAP的客户端工具,我使用最多的是ldapadmin。
ldap-collate:整理和计数ldap条目-开源
05-08
标题 "ldap-collate" 提供的信息表明,这是一个与LDAP(轻量级目录访问协议)相关的工具,主要用于整理和计数LDAP目录中的条目。它允许用户基于特定属性对条目进行搜索、分组和计数,从而提供了一个便捷的方式来管理...
mantis试运行阶段性总结
05-02
Mantis是一款开源的问题追踪系统,常用于管理和跟踪项目中的各种问题和缺陷。...通过试运行阶段的总结,我们可以对Mantis有全面的认识,从而更好地利用它来提升问题管理效率,促进团队协作,降低错误率,提高产品质量。
基于LDAP的权限管理系统设计与实现
LDAP(Lightweight Directory Access Protocol)是一种广泛应用于网络身份认证和访问控制的协议。它提供了一种统一的认证和授权机制,可以作为权限管理系统的基础框架。本文将基于LDAP,设计和实现一个功能完善的...
LdapAdmin---LDAP工具
12-01
win下非常好用的LDAP查看工具,非常稳定。最新版,64位。
ldapadmin,windows下管理ldap的工具
10-21
ldapadmin,windows下管理ldap的工具;ldapadmin,windows下管理ldap的工具
LDAP概念和原理介绍
MyySophia的博客
04-09 3095
LDAP是开放的Internet标准,支持跨平台的Internet协议,在业界中得到广泛认可的,并且市场上或者开源社区上的大多产品都加入了对LDAP的支持,因此对于这类系统,不需单独定制,只需要通过LDAP做简单的配置就可以与服务器做认证交互。相信对于许多的朋友来说,可能听说过LDAP,但是实际中对LDAP的了解和具体的原理可能还比较模糊,今天就从“什么是LDAP”、“LDAP的主要产品”、“LDAP的基本模型”、“LDAP的使用案例”四个方面来做一个介绍。所以目录天生是用来查询的,就好象它的名字一样。
LDAP配置与安装
mandarin_meng的博客
11-21 1880
LDAP的原理知识参考:https://www.cnblogs.com/wilburxu/p/9174353.html。修改Apache的端口!url: http://服务器地址:端口/phpldapadmin/5.3. 修改{-1}frontend.ldif文件。5.3. 修改{-1}frontend.ldif文件。5.2. 修改{1}monitor.ldif文件。5.2. 修改{1}monitor.ldif文件。7、修改LDAP文件权限、端口(不强求)7、修改LDAP文件权限、端口(不强求)
LDAP协议
qq_45800977的博客
08-09 886
目录服务是一个特殊的数据库,按照树状存储信息,目录告诉用户某些内容在网络中的位置。目录服务的数据类型主要是字符型。主要面向数据的查询服务,有很强的查询功能。目录具有广泛复制信息的能力,适合于多个目录服务器同步/更新。树形只是推荐的底层数据存储方式,因为读多写少,所以其实也可以使用传统关系型数据库作为LDAP数据源。LDAP只是一个协议,约定的是C/S之间的通信方式,理论上服务器只要能处理LDAP协议规定操作返回正确结果即可。将用户数据放在LDAP服务器上,通过LDAP服务器上的数据对用户做认证处理。
LDAP Admin操作指南
vivianliulu的博客
05-28 2万+
https://cloud.tencent.com/developer/article/1380076 1 文档编写目的 在CDH集群中集成了OpenLDAP后,在向LDAP中添加一个用户需要通过编辑ldif文件,对于一些不熟悉的新手来说是非常不方便的,在前面的文章《12.OpenLDAP管理工具Phpldapadmin的安装及使用》介绍了一个中管理工具,是一个Web服务。本篇文章Fayso...
如何利用OpenLDAP工具管理并使用LDAP Server
zstack_org的博客
04-18 1万+
提供:ZStack云计算 内容介绍如果对于相关工具以及LDAP所要求的信息及方法不太熟悉,LDAP系统的管理工作往往难度较高。在本教程中,我们将探讨如何利用由OpenLDAP团队开发的相关工具与LDAP目录服务器进行交互。先决条件在开始之前,大家首先需要拥有一套安装并配置了OpenLDAP的系统,具体方法参阅此文。另外,大家还应当参阅此篇教程以掌握LDAP目录服务的各基本术语及概念。安装工具在满足以
RHEL 6下详细步骤: LDAP服务器集群配置教程
接着,进入LDAP配置阶段。配置文件位于`/etc/openldap`目录下,包括`slapd.conf`、`schemas`等。为了防止覆盖默认配置,作者建议先备份原始配置文件`slapd.conf.bak`,然后将`slapd.d`目录移动到根目录下,并将`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值