LDAP阶段性小结

经过几天的琢磨，利用LDAP实现用户共享的任务初步实现。

LDAP相关简介:

    1、快速响应和大容量查询并且提供多目录服务器的信息复制功能，它为读密集型的操作进行专门的 优化。因此，当从LDAP服务器中读取数据的时候会比从专门为OLTP优化的关系型数据库中读取数据快一个数量级。

   2、实现用户共享。即用某个第三方平台，管理公司内部的多个系统用户，同一个用户登录多个系统。

OpenLDAP服务器搭建:  下载地址:  openldap-2.2.29-db-4.3.29-openssl-0.9.8a-win32_Setup.exe

安装与配置:  推荐参考网址

1)、打开C:\Program Files\OpenLDAP \slapd.conf，找到ucdata-path    ./ucdata
        include  ./schema/core.schema，在它后面添加
        include  ./schema/cosine.schema
        include  ./schema/inetorgperson.schema

2)、下面我们做一个示例：需要在 slapd.conf 配置文件中，找到
       suffix  “dc=my-domain,dc=com”
       rootdn  “cn=Manager,dc=my-domain,dc=com”
     把这两行改为
       suffix     "dc=mycompany,dc=com"
       rootdn   "cn=Manager,dc=mycompany,dc=com"

3. 启动 OpenLDAP . CMD 进入到C:\Program Files\OpenLDAP 下，
        1)、启动OpenLDAP-slapd服务：作用在于开机自动启动该服务项
      slapd install OpenLDAP-slapd “OpenLDAP Directory Service” auto net start OpenLDAP-slapd
      NOTE: the “slapd install” is only needed if you didn’t choose the “create NTservice” option during installation.
      当你完成这一步后，下次开机的时候就自动启动LDAP的服务了，不必再次手动启动。（此步也可以忽略不做！）
        2)、启动OpenLDAP服务器在cmd下运行：slapd -d 1

OpenAdmin客服端: 下载地址: LdapAdmin.exe  。  我下载的版本是LdapAdminExe-w64-1.7.1.zip。功能是没问题，可视化效果不好。

      也可用LdapBrowser ,这个没试过，可能管理会方便得多。

      打开LdapAdmin.exe文件

     

那么就你可以按照自己的目录设计修改一下压缩包目录中的init.ldif文件，并通过LDAP Admin->Tool->Import …菜单，导入init.ldif，实现top组织的添加。当然，你也可以通过命令窗口导入ldif文件，如：ldapadd -l init.ldif

dn: dc=mycompany,dc=com
objectClass: top
objectClass: dcObject
objectClass: domain
dc: mycompany
userPassword: {CRYPT}$1$Vd5g.O/y$g34U3EEuhAh.2g2q0E1TN/

dn: ou=roles,dc=mycompany,dc=com
objectClass: top
objectClass: organizationalUnit
ou: roles

dn: ou=people,dc=mycompany,dc=com
objectClass: top
objectClass: organizationalUnit
ou: people

dn: cn=Test Users,ou=roles,dc=mycompany,dc=com
objectClass: groupOfUniqueNames
cn: Test Users
uniqueMember: uid=sspecial,ou=people,dc=mycompany,dc=com
uniqueMember: uid=jbloggs,ou=people,dc=mycompany,dc=com

dn: cn=Special Users,ou=roles,dc=mycompany,dc=com
objectClass: groupOfUniqueNames
cn: Special Users
uniqueMember: uid=sspecial,ou=people,dc=mycompany,dc=com

dn: cn=Admin Users,ou=roles,dc=mycompany,dc=com
objectClass: groupOfUniqueNames
cn: Admin Users
uniqueMember: uid=admin,ou=people,dc=mycompany,dc=com

dn: uid=admin,ou=people,dc=mycompany,dc=com
objectClass: person
objectClass: inetOrgPerson
cn: State App
displayName: App Admin
givenName: App
mail: admin@fake.org
sn: Admin
uid: admin
userPassword: adminpassword

dn: uid=jbloggs,ou=people,dc=mycompany,dc=com
objectClass: person
objectClass: inetOrgPerson
cn: Joe Bloggs
displayName: Joe Bloggs
givenName: Joe
mail: jbloggs@fake.org
sn: Bloggs
uid: jbloggs
userPassword: password

dn: uid=sspecial,ou=people,dc=mycompany,dc=com
objectClass: person
objectClass: inetOrgPerson
cn: Super Special
displayName: Super Special
givenName: Super
mail: sspecial@fake.org
sn: Special
uid: sspecial
userPassword: password

dn: ou=sdmc,dc=mycompany,dc=com
objectClass: organizationalUnit
objectClass: top
ou: sdmc

dn: cn=DEMO,ou=sdmc,dc=mycompany,dc=com
gidNumber: 500
objectClass: posixGroup
objectClass: top
cn: DEMO

dn: cn=cai dimin,ou=sdmc,dc=mycompany,dc=com
givenName: cai
sn: dimin
cn: cai dimin
uid: cdimin
userPassword: {MD5}4QrcOUm6Wau+VuBX8g+IPg==
uidNumber: 1000
gidNumber: 500
homeDirectory: /home/users/cdimin
loginShell: /bin/sh
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: top
mail: 724801286@qq.com

dn: cn=ldapsdmc,ou=sdmc,dc=mycompany,dc=com
cn: ldapsdmc
telephoneNumber: 18682135083
l: sz
objectClass: organizationalRole
objectClass: top

phpldapadmin客户端(版本1.2.3) 
    a.官网下载源码放入WEB目录下:http://phpldapadmin.sourceforge.net/wiki/index.php/Download
    b.安装依赖的扩展gettext ldap这2个扩展
    c.按需配置 源码目录下config/config.php ( 需要取消注释的配置有)

          $servers->setValue('server','name','My LDAP Server');
          $servers->setValue('server','host','10.10.121.8');
          $servers->setValue('server','base',array('dc=mycompany,dc=com'));
          $servers->setValue('login','auth_type','session');
          $servers->setValue('login','bind_id','cn=Manager,dc=mycompany,dc=com');
          $servers->setValue('login','bind_pass','secret');） //空时，每次登录时，要手动输入

 注意:在运行时，由于PHP版本是5.6,不兼容正则的'/e'，则preg_replace() ->preg_replace_callback() ,

          $a[$key] = preg_replace('/\\\([0-9A-Fa-f]{2})/e',"''.chr(hexdec('\\1')).''",$rdn);
          $a[$key] = preg_replace_callback('/\\\([0-9A-Fa-f]{2})/',function($r) { return ''.chr(hexdec($r[0])).'' ; },$rdn);

 还有 password_hash()->passwordhash()

公司内部系统连接LDAP服务器:        推荐参考网址:http://www.mzone.cc/article/621.html

spring-ldap-xml文件

<?xml version="1.0" encoding="UTF-8"?>  
<!DOCTYPE beans PUBLIC "-//SPRING//DTD BEAN//EN" "http://www.springframework.org/dtd/spring-beans.dtd">  
<beans>  
    <!-- ldap -->
	<bean id="contextSource"  
        class="org.springframework.ldap.core.support.LdapContextSource">  
        <property name="url" value="ldap://10.10.121.8:389" />  
        <property name="base" value="dc=mycompany,dc=com" />  
        <property name="userDn" value="cn=Manager,dc=mycompany,dc=com" />  
        <property name="password" value="secret" />  
    </bean>  
    <bean id="ldapTemplate"  class="org.springframework.ldap.core.LdapTemplate">  
        <constructor-arg ref="contextSource" />  
    </bean>  
  
    <bean id="userLdapDao" class="com.sdmc.basecms.ldap.UserDaoLdapImpl">  
        <property name="ldapTemplate" ref="ldapTemplate"/>  
    </bean>  
    <!-- end ldap -->  
</beans> 

Ldap.java

	public static Object init(){
		ApplicationContext cxt = new ClassPathXmlApplicationContext("spring-ldap.xml");  
	 	userLdapDao = (UserDaoLdapImpl)cxt.getBean("userLdapDao");
	 	return userLdapDao ;
	}

UserDaoLdapImpl.java

        @SuppressWarnings("unchecked")
	public LdapUser getLdapUserByuid(User user) {
		// TODO Auto-generated method stub
	     byte[] bytes=(byte[])DigestUtils.md5( user.getPassword() );     
   	     String passwordValue=new String(bytes);
	     String filter = "(&(uid=" + user.getUsername()+"))";
	     List<LdapUser> list = ldapTemplate.search("ou=sdmc", filter, new AttributesMapper() { @Override
	     public Object mapFromAttributes(Attributes attributes) throws NamingException {
	        	LdapUser ldapuser = new LdapUser();
		        Attribute attr = attributes.get("gidnumber");
		        if(attr!=null ){
		            ldapuser.setRoleId(   attr.get()+""   );
                	}attr = attributes.get("userpassword");
		            if(attr!=null ){
		            byte[] bytes=(byte[])attr.get();     
		            String passwordValue=new String(bytes);
		            ldapuser.setPassword( passwordValue );
                	}
		        attr = attributes.get("cn");
		        if(attr!=null ){
		            	ldapuser.setCn( attr.get()+"" );
                	}attr = attributes.get("mail");
		            if(attr!=null ){
		            ldapuser.setMail( attr.get()+"" );
                	}
		      return ldapuser;
		}
	    });
        if (list.isEmpty()) return null;
	    return list.get(0);
	}

        1-LDAP服务器——已搭建好
        2-phpldapadmin系统——已安装上(能操作LDAP的用户)
        3-应用系统(CMS)——含有自己的用户及角色权限(也能操作到LDAP的用户)

        总结:通过phpldapadmin管理LDAP上的用户实体，在CMS登录时，用该用户实体，实现CMS的登录鉴权验证和权限控制。

我的想法是:由于CMS存在一个用户表，表中有些字段在CMS系统操作时是有用的，CMS登录的时候，通过username，先去查询LDAP是否存在该用户，查密码等。 通过ldap分组名(唯一)获取cms中角色的权限。

        1、LDAP存在，且CMS不存在该用户，就在CMS的用户表中插入用户数据，再按照CMS原来流程的登录

        2、LDAP不存在，直接按照CMS原来流程的登录

说明:phpldapadmin系统对用户实体加密默认是MD5代码如下:   base64_encode(pack('H*',md5( password ))); 

 那么用username查出的密码，与CMS加密的密码需比较来验证 :

        String ldapPassword =  new String(Base64.decodeBase64( ldapUser.getPassword().substring(5).getBytes()),"UTF-8") ;
        String loginPassword = CommonUtil.toStringHexTest(   CommonUtil.getMd5( user.getPassword().getBytes())  ) ;
        if( !loginPassword.equals(ldapPassword) ){
               ResultVO<User> resutlVO = new ResultVO<User>();
               resutlVO.setFlag(false);
               resutlVO.setMessage("The Username Or Password On The LDAP Is incorrect!");
               return resutlVO;
       }