LDAP身份验证是全球范围内最流行的企业应用程序身份验证机制之一,而Active Directory (Microsoft针对Windows的LDAP实现)是另一种广泛使用的LDAP服务器。 在许多项目中,我们需要通过登录屏幕中提供的凭据使用LDAP对活动目录进行身份验证 。 有时,由于实现和集成过程中会遇到各种问题, 并且没有进行LDAP身份验证的标准方法,因此此简单任务会变得棘手。 Java提供了LDAP支持,但是在本文中,我将主要讨论spring安全性,因为它是我首选的Java框架,用于进行身份验证,授权和安全性相关的工作。
我们可以通过编写用于执行LDAP搜索然后进行LDAP绑定的自有程序来在Java中执行相同的操作,但是正如我所说的,当您使用Spring Security进行LDAP身份验证时,它更容易,更简洁。
除了LDAP支持外,Spring Security还提供了企业Java应用程序所需的其他一些功能,包括SSL安全性,密码加密和会话超时功能。
1. LDAP认证基础
在深入了解Active Directory上的LDAP身份验证之前,让我们熟悉一些LDAP术语,因为大多数时候用户是第一次使用它,并且他们对典型的LDAP词汇表(例如Dn,Ou,Bind或search等)不太熟悉。
Dn –专有名称 ,唯一名称,用于在LDAP服务器(例如Microsoft Active Directory)中查找用户。
OU –组织单位 绑定– LDAP绑定是一种操作,其中LDAP客户端将bindRequest发送给包括用户名和密码在内的LDAP用户,如果LDAP服务器能够正确找到用户名和密码,则它允许访问LDAP服务器。 搜索– LDAP搜索是通过使用某些用户凭证来检索用户的Dn的操作。 根 – LDAP目录的顶部元素,例如树的根。 BaseDn – LDAP树中的一个分支,可用作LDAP搜索操作的基础,例如dc = Microsoft,dc = org
如果您想了解有关LDAP的更多信息,请查看此链接,其中包含有关LDAP的详细信息。
2. Active Directory Spring Security中的LDAP身份验证
在Spring安全性中,有两种方法可以使用LDAP协议来实现活动目录身份验证,第一种是编程和声明性方法,需要一些编码和一些配置。
另一方面,第二种方法是Spring Security提供的现成解决方案,只需配置ActireDirectoryAuthenticationProvider
,就可以完成。 我们将看到两种方法,但是我建议使用第二种方法,因为第二种方法简单易用。
2.1在Spring Security中使用LDAP进行Active Directory身份验证-示例1
组态
将以下配置添加到您的spring application-context.xml文件中,我建议将此配置与其他与安全相关的内容一起放在单独的application-context-security.XML文件中。
1)配置LDAP服务器 为了配置LDAP服务器,请将以下XML代码段放入Spring安全配置文件中:
<s:ldap-server
url="ldap://stockmarket.com" //ldap url
port="389" //ldap port
manager-dn="serviceAcctount@sotckmarket.com" //manager username
manager-password="AD83DgsSe" //manager password
/>
此配置是不言自明的,但是有关管理器dn和密码, 活动目录或任何其他LDAP目录上的LDAP身份验证的简短说明仅需两步,首先需要执行LDAP搜索以找到用户的Dn(专有名称),然后进行LDAP搜索。然后此Dn用于执行LDAP绑定。
如果绑定成功,则用户身份验证成功,否则它将失败。 有些人比LDAP绑定更喜欢密码的远程比较 ,但是LDAP绑定是您最不希望做的事情。
Active Directory的大部分内容都不允许匿名搜索操作,因此要执行LDAP搜索,您的服务必须具有LDAP帐户,这是我们在此提供的manager-in和manager-password.property。
在Summary中 ,现在将通过以下步骤完成LDAP登录:
- 您的服务或应用程序使用manager-dn和manager-password将自身与LDAP绑定。
- LDAP搜索用户以找到UserDn
- 使用UserDn进行LDAP绑定
到此完成了LDAP登录部分。 现在,让我们进入配置LDAP身份验证提供程序的下一部分。
2)配置LDAP身份验证提供程序
本节在spring-security中指定了各种身份验证提供程序,在这里您可以看到LDAP身份验证提供程序,并且我们使用userPrincipalName
在Microsoft Active目录中搜索用户。
<s:authentication-manager erase-credentials="true">
<s:ldap-authentication-provider
user-search-base="dc=stockmarketindia,dc=trader"
user-search-filter="userPrincipalName={0}"
/>
<s:authentication-provider
ref="springOutOfBoxActiveDirecotryAuthenticationProvider"/>
</s:authentication-manager>
现在需要一小段编码来传递userPrincipalName
并验证用户。
public boolean login(String username, String password) {
AndFilter filter = new AndFilter();
ldapTemplate.setIgnorePartialResultException(true); // Active
Directory doesn’t transparently handle referrals. This fixes that.
filter.and(new EqualsFilter("userPrincipalName", username));
return ldapTemplate.authenticate("dc=stockmarketindia,dc=trader",
filter.toString(), password);
}
第2行在该程序中非常重要,因为我整日都在弄清楚应用程序何时反复抛出javax.naming.PartialResultException:未处理的连续引用,您也可以将sAMAccountName
用于搜索用户, userPrincipalName
和sAMAccountName
都是唯一的在Active Directory中。
这里最重要的是它必须是全名,例如name @ domain,例如jimmy@stockmarket.com。
authenticate()
方法将根据绑定操作的结果返回true或false。
2.2在Spring Security中使用LDAP的Active Directory身份验证-更简单的示例
第二种方法更简单,更清洁,因为它是开箱即用的,您只需要配置LDAP服务器URL和域名即可使用,就像奶油一样。
<s:authentication-manager erase-credentials="true">
<s:authentication-provider ref="ldapActiveDirectoryAuthProvider"/>
</s:authentication-manager>
<bean id="ldapActiveDirectoryAuthProvider"
class="org.springframework.security.ldap.authentication.ad.
ActiveDirectoryLdapAuthenticationProvider">
<constructor-arg value="stockmarket.com" /> //your domain
<constructor-arg value="ldap://stockmarket.com/" /> //ldap url
</bean>
就这样,完成了。 此配置将对LDAP进行身份验证并加载所有授予的权限 ,就像您所属的组一样。 这也与spring安全登录元素集成在一起。
2.3依赖
这个示例基于spring security 3.0,我使用的是spring-ldap-1.3.1.RELEASE-all.jar和spring-security-ldap-3.1.0.RC3.jar。
如果您不知道如何下载Spring框架JAR文件,请按照此Spring Framework JAR下载指南中给出的步骤进行操作,该指南说明了如何从Maven Central下载Spring框架和其他相关JAR。
2.4 LDAP验证期间的错误
您需要非常幸运地完成针对Active Directory的LDAP身份验证而没有任何错误或异常,在这里,我列出了我遇到的一些常见错误及其解决方案,以便快速参考。
1)javax.naming.PartialResultException:未处理的连续引用; 剩余名称'dc = company,dc = com' 发生此错误是因为Microsoft Active Directory无法正确处理引用,并且要解决此问题,请设置此属性
ldapTemplate.setIgnorePartialResultException(true);
2)javax.naming.NameNotFoundException:[LDAP:错误代码32 – No Such Object]; 剩余的名字”
该错误经过反复尝试后得以解决,并且主要是由于用户名格式无效造成的 。 它通过提供全名来解决,例如jemmy@stockmarket.com
2.5工具
LDAP浏览器 :最好使用一些工具来查看LDAP目录中的数据,它可以为您提供一些可见性以及浏览LDAP中数据的方法。
它被称为LDAP浏览器,网络上有很多开源的LDAP浏览器,例如jexplorer。 您可以使用LDAP浏览器浏览和查看Active Directory中的数据。
2.6通过SSL的LDAP Active Directory身份验证
这非常适合对Microsoft活动目录实施LDAP身份验证。 但是您可能要引起注意的一件事是,使用LDAP用户名和密码以明文形式传输到LDAP服务器,并且有权访问LDAP流量的任何人都可以嗅探用户凭据,因此并不安全。
一种解决方案是使用LDAP(基于SSL的LDAP)协议,该协议将加密LDAP客户端和服务器之间的流量。
在spring-security中,这很容易做到,您需要更改的是URL而不是“ ldap://stockmarket.com/ ”,您需要使用“” ldaps://stockmarket.com/ 。 实际上, LDAP的端口是339 ,LDAPS 的端口 是636,但是第二种方法在Spring已得到注意,在第一种方法中,您需要提供此信息。
您可能会遇到的问题是“无法找到到所请求目标的有效认证路径”
异常如下图所示:
javax.net.ssl.SSLHandshakeException:
sun.security.validator.ValidatorException: PKIX path building failed:
sun.security.provider.certpath.SunCertPathBuilderException:
unable to find valid certification path to requested target
此异常的原因很简单, 在SSL握手期间返回的证书 不由在您的JRE密钥中配置的任何受信任的证书颁发机构(CA) 签名,例如Verisign,Thwate,GoDaddy或entrust等。相反,服务器发送的证书是JRE不知道。
要解决此问题,您需要将Server返回的证书添加到JRE的密钥库中。 顺便说一句,如果您对密钥库和信任库感到困惑,那么请阅读我在Java中关于密钥库和信任库之间的区别的文章,以首先了解它。
2. 7我为解决问题所做的工作
毫不奇怪,我使用了一个名为InstallCert.java的开源程序,它仅与您的LDAP服务器和端口一起运行,它将尝试使用SSL连接LDAP服务器并首先抛出相同的“ PKIX路径构建失败” ,然后抛出LDAP服务器返回的证书。
然后它将要求您将证书添加到密钥库中,只需提供屏幕上显示的证书编号,然后将那些证书添加到C:\ Program Files \ Java \ jdk1.6.0 \ jre \ lib \ security文件夹中的“ jssecacerts ”中。 现在重新运行该程序,该错误必须消失,并且将打印:
"Loading KeyStore jssecacerts...
Opening connection to stockmarket.com:636...
Starting SSL handshake...
No errors, the certificate is already trusted
我们已经完成了,现在,如果您尝试通过LDAPS进行身份验证,您将成功。
即使没有Spring安全性,也可以使用Java 对活动目录执行LDAP认证的其他方法。 但是我发现spring-security非常有用,因此请考虑将其用于您的安全性要求。 如果您在LDAP登录期间遇到任何问题,请告诉我,我们将尽力为您提供帮助。