neo4j使用详解(十七、集成Kerberos认证(Java/c#)——最全参考)

已于 2024-04-14 21:23:48 修改
阅读量661 收藏 12
点赞数 13
分类专栏: 图数据库 文章标签: neo4j java c#
于 2024-04-12 09:52:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35754073/article/details/137612425
版权

请添加图片描述

Neo4j系列导航:
neo4j安装及简单实践
cypher语法基础
cypher插入语法
cypher插入语法
cypher查询语法
cypher通用语法
cypher函数语法
neo4j索引及调优
neo4j java Driver等更多

1.简介

Kerberos是一种网络身份验证协议,它允许网络节点在网络上证明其身份。它通过使用密钥分发中心(KDC)来确保客户端标识是正确的。除了安全性之外,Kerberos还支持单点登录。这允许在登录到计算机后授予用户对数据库的访问权限,从而为用户提供了简单性。

  • Neo4j支持使用Kerberos:4.x、5.x版本支持

2.部署

官方的Neo4j Kerberos Add-on可用于通过Kerberos身份验证扩展Neo4j。该附加组件提供身份验证,并应与其他提供程序(如LDAP)一起用于授权。

  • Neo4j Kerberos Add-on v4.0.0与Neo4j的4.x和5.x所有版本兼容

Kerberos Add-on的部署步骤:
将kerberos-add-on.jar文件放在Neo4j安装的plugins/目录中。编辑neo4j.conf以启用Kerberos附加组件作为身份验证提供者。

  1. 为Kerberos配置Neo4j: Configure neo4j.conf

    #For authentication with kerberos-add-on
dbms.security.authentication_providers=plugin-Neo4j-Kerberos
dbms.security.authorization_providers=ldap

#For authorization with LDAP
dbms.security.ldap.host=ad.windomain.local
dbms.security.ldap.authorization.use_system_account=true
dbms.security.ldap.authorization.system_username=CN=neo4jservice,OU=IT-Services,DC=windomain,DC=local
dbms.security.ldap.authorization.system_password=PASSWORD
dbms.security.ldap.authorization.user_search_base=CN=Users,DC=windomain,DC=local
dbms.security.ldap.authorization.user_search_filter=(&(objectClass=*)(SamAccountName={0}))
dbms.security.ldap.authorization.group_membership_attributes=memberOf
dbms.security.ldap.authorization.group_to_role_mapping= \
  "CN=Neo4j Read Only,CN=Users,DC=windomain,DC=local"      = reader; \
  "CN=Neo4j Read-Write,CN=Users,DC=windomain,DC=local"     = publisher; \
  "CN=Neo4j Schema Manager,CN=Users,DC=windomain,DC=local" = architect; \
  "CN=Neo4j Administrator,CN=Users,DC=windomain,DC=local"  = admin; \
  "CN=Neo4j Procedures,CN=Users,DC=windomain,DC=local"     = allowed_role

  2. 生成Kerberos keytab文件:
    为KDC中的Neo4j服务器创建一个服务用户。确保为Neo4j服务用户生成一个keytab,并将其放在conf目录中。在本例中,我们将其命名为neo4j.ktab。keytab将被Neo4j使用。

  3. 配置Kerberos Add-on:
    如果您已经通过Heimdal或MIT工具套件使用Kerberos,那么您有一个krb5.conf文件,其中包含有关如何访问KDC的信息。如果您没有这样的文件,或者不希望使用它,请在conf目录中创建一个新的krb5.conf文件。

    配置krb5.conf:
    在本例中,我们使用的是WINDOMAIN领域。LOCAL和KDC和管理服务器的IP地址192.168.38.2。将它们分别替换为KDC和管理服务器的实际领域和实际IP或域名。

    [libdefaults]
default_realm = WINDOMAIN.LOCAL

default_tgs_enctypes = rc4-hmac rc4-hmac-exp aes128-cts-hmac-sha1-96 aes256-cts-hmac-sha1-96 des3-hmac-sha1
default_tkt_enctypes = rc4-hmac rc4-hmac-exp aes128-cts-hmac-sha1-96 aes256-cts-hmac-sha1-96 des3-hmac-sha1
permitted_enctypes = rc4-hmac rc4-hmac-exp aes128-cts-hmac-sha1-96 aes256-cts-hmac-sha1-96 des3-hmac-sha1

[realms]
WINDOMAIN.LOCAL = {
	kdc = 192.168.38.2
	admin_server = 192.168.38.2
}

[domain_realm]
.windomain.local = WINDOMAIN.LOCAL
windomain.local = WINDOMAIN.LOCAL

    Java本身不支持某些加密算法。当使用更高级的加密算法(例如ASE-256)时,确保运行Neo4j的Java启用了Java Cryptography Extension扩展。

    现在在conf目录中创建第二个名为kerberos.conf的文件。keytab设置引用上面创建的keytab文件。该服务。主体设置是该keytab中的主体,krb5.conf设置引用krb5.conf文件(已经从现有Kerberos安装中存在,或者在上面步骤中创建)。同样,根据您的设置将这些值替换为正确的值。

    配置kerberos.conf:

    realm=WINDOMAIN.LOCAL
keytab=conf/neo4j.ktab
service.principal=neo4j/neo4j.windomain.local@WINDOMAIN.LOCAL
krb5.conf=conf/krb5.conf

3.使用

要使用Kerberos进行身份验证的客户机应用程序代码必须针对KDC进行身份验证,并获取Neo4j服务的服务票证(在我们的示例中:Neo4j /neo4j.windomain.local@WINDOMAIN.LOCAL)。服务ticket必须直接或封装在SPNEGO(1.3.6.1.5.5.2)中使用Kerberos v5(1.2.840.113554.1.2.2)机制。
服务ticket应该以以下属性的认证令牌形式提供给Neo4j驱动程序:

  • Principal: empty
  • Credentials: the Base64-encoded service ticket
  • Realm: add-on-Neo4j-Kerberos

Kerberos Add-on目前不能与Neo4j浏览器一起工作。它只适用于使用Neo4j驱动程序的应用程序

实例一:Java驱动
使用1.3 Java驱动程序的示例实现

public void connect()
{
	byte[] serviceTicket = get(serviceDomainName);

	String scheme = "ticket";
	String realm = "add-on-Neo4j-Kerberos";
	String encodedServiceTicket = Base64.getEncoder().encodeToString( serviceTicket );
  AuthToken token = AuthTokens.custom( encodedServiceTicket );

	try ( Driver driver = GraphDatabase.driver( "bolt://" + serviceDomainName, token ) )
	{
		// do interesting things
	}
}

public byte[] get(String serviceDomainName) throws LoginException, GSSException
{
	Map<String,String> options = Collections.singletonMap( "useTicketCache", "true" );
	Krb5Configuration loginContextConfiguration = new Krb5Configuration( options );
	LoginContext loginContext = new LoginContext(
	    "KerberosClient",
	    null, // this is the subject
	    null, // no need for this
	    loginContextConfiguration
	  );
	loginContext.login();

	return getServiceTicket( loginContext.getSubject(), "neo4j@" + serviceDomainName );
}
public static final Oid SPNEGO_OID = getOid( "1.3.6.1.5.5.2" );
public byte[] getServiceTicket(Subject subject, String servicePrincipalName) throws GSSException
{
	GSSManager manager = GSSManager.getInstance();
	GSSName serverName = manager.createName( servicePrincipalName, GSSName.NT_HOSTBASED_SERVICE );
	final GSSContext context = manager.createContext(
					serverName, SPNEGO_OID, null, GSSContext.DEFAULT_LIFETIME );
	// The GSS context initiation has to be performed as a privileged action.
	return Subject.doAs( subject, new PrivilegedAction<byte[]>()
	{
		public byte[] run()
		{
			try
			{
				// This is a one pass context initialisation.
				context.requestMutualAuth( false );
				context.requestCredDeleg( false );
				return context.initSecContext( new byte[0], 0, 0 );
			}
			catch ( GSSException e )
			{
				e.printStackTrace();
				return null;
			}
		}
	} );
}

private class Krb5Configuration extends Configuration
{
	private final AppConfigurationEntry[] configList;

	public Krb5Configuration( Map<String,String> options )
	{
		this.configList = new AppConfigurationEntry[1];
		configList[0] =
		    new AppConfigurationEntry(
		        "com.sun.security.auth.module.Krb5LoginModule",
		        AppConfigurationEntry.LoginModuleControlFlag.REQUIRED,
		        options
		    );
	}

	@Override
	public AppConfigurationEntry[] getAppConfigurationEntry(String name)
	{
	    return configList;
	}
}

实例一:c#驱动
使用c#和1.3 . net驱动程序实现的示例

var token = AuthTokens.kerberos(getTicket("neo4j"));
	using (var driver = GraphDatabase.Driver("bolt://neo4j.windomain.local:7687", token))
	{
		try
		{
			using (var session = driver.Session())
				{
					var result = session.Run("MATCH () RETURN count(*) AS count");
					foreach (var record in result)
					{
						Console.WriteLine($"Nodecount: {record["count"].As<string>()}");
					}
				}
		}
		catch (Exception e)
		{
			Console.WriteLine($"Error: {e.Message}");
		}
}

 private static String getTicket(string serviceName)
 {
	AppDomain.CurrentDomain.SetPrincipalPolicy(System.Security.Principal.PrincipalPolicy.WindowsPrincipal);
	var domain = Domain.GetCurrentDomain().ToString();

	using (var domainContext = new PrincipalContext(ContextType.Domain, domain))
	{
		string spn = UserPrincipal.FindByIdentity(domainContext, IdentityType.SamAccountName, serviceName).UserPrincipalName;
		Console.WriteLine("Service Principale name: " + spn);
		KerberosSecurityTokenProvider tokenProvider = new KerberosSecurityTokenProvider(spn);
		KerberosRequestorSecurityToken securityToken = tokenProvider.GetToken(TimeSpan.FromMinutes(1)) as KerberosRequestorSecurityToken;
		var token = securityToken.GetRequest();
		String ticket = Convert.ToBase64String(token);
		return ticket;
	}
 }
Timmer丿
关注
  • 13
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Neo4j 认证考试错题集锦(持续更新)
u010408586的专栏
06-01 1013
Neo4j 认证考试 错题
C# Neo4jDriver操作Neo4j图形数据库底层代码
10-18
C# Neo4jDriver操作Neo4j图形数据库底层代码和引用的dll
Neo4j 第四篇:使用C#更新和查询Neo4j
杜海的博客
11-07 4318
本文使用的IDE是Visual Studio 2015 ,驱动程序是Neo4j官方的最新版本:Neo4j Driver 1.3.0 ,创建的类库工程(Project)要求安装 .NET Framework 4.6版本,Neo4j官方提供的驱动程序使用起来非常简单,非常依赖于Cypher语言,但是,官方驱动程序仅支持标量类型的参数(Parameters),由于Neo4j的批量更新,例如,Cypher
Neo4j认证考试错题集
weixin_43315211的博客
12-08 2025
neo4j错题集
Neo4j:入门基础(一)之安装与使用
古月哲亭
06-23 6393
Neo4j是一个高性能的NOSQL图形数据库,它将结构化数据存储在网络上而不是表中。Neo4j也可以被看作是一个高性能的图引擎,该引擎具有成熟数据库的所有特性。 在一个图中包含两种基本的数据类型:Nodes(节点) 和 Relationships(关系)。Nodes 和 Relationships 包含key/v......
vue+neo4j +纯前端(neovis.js / neo4j-driver) 实现 知识图谱的集成 大干货
07-20
vue+neo4j+(neovis.js / neo4j-driver)纯前端实现知识图谱的集成 一、Neovis.js 不用获取数据直接连接数据库绘图 二、 neo4j-driver 能够直接通过前端获取数据。 三、vis.js 绘图 四、 echarts绘图 neo4j是什么? ...
neo4j-ogm:用于Neo4j的Java对象图映射库
02-05
6. **集成使用**:neo4j-ogm可以轻松地集成Java项目中,通过配置和注解,开发者可以快速实现Java对象与Neo4j数据库之间的绑定和操作。 7. **性能优化**:虽然图形数据库在处理复杂关系时有优势,但不当使用可能...
neo4j-java-driver:JavaNeo4j Bolt驱动程序
02-05
Neo4j Java驱动程序 该存储库包含Neo4j的官方Java驱动程序。 该API旨在针对单实例数据库和集群数据库都起作用。 对于驱动程序用户 本节为正在构建Neo4j支持的应用程序的开发人员提供常规信息。 请注意,此驱动程序仅...
java项目集成neo4j的demo
11-15
Java项目集成Neo4j是一个将图数据库技术引入到传统Java应用程序中的实践过程。Neo4j是一种高性能、无模式的图数据库,特别适合处理高度互联的数据,例如社交网络、推荐系统和知识图谱等。在本Java项目中,我们看到一...
LearningNeo4j:关于如何成为认证Neo4j专业人士的说明-您可以在此处下载pdf版本:
02-03
LearningNeo4j:关于如何成为认证Neo4j专业人士的说明-您可以在此处下载pdf版本:
neo4j基本操作(一)
weixin_39012047的博客
07-25 1443
删除节点及关系 MATCH (n)-[r]-() DELETE n,r 上面的方式会将node和relations都删除,但这种删除方式仍会有一些信息未清空(如Property keys),彻底删除数据库使用如下方式: &gt;bin/neo4j stop &gt;rm -rf data/databases/graph.db &gt;bin/neo4j start...
恭喜Zhang Jian获得Neo4j认证
Jennifer726的博客
09-30 551
恭喜ZhangJian获得 Neo4j认证!感谢您的支持,Neo4j将会一如既往地为中国客户及合作伙伴提供更加专业的服务。 下面与大家分享一下ZhangJian的亲身感受。希望有越来越多的人通过 Neo4j 认证。 ”接触Neo4j差不多五年了,从开始就预感Neo4j一定会成为流行趋势,因为图为分析问题提供了新的视角,而Neo4j优异的性能、丰富的文档、各种优秀的插件让它在一众产品中脱颖而出。 在我工作的领域,它确实helped a lot。通过它我们帮助反欺诈团队把工作效率提高了n倍(n>=5),
neo4j 登录验证配置
weixin_30929195的博客
02-28 870
neo4j没有登录用户名和密码设置,需要使用插件实现,步骤如下: 1.配置文件配置文件conf/neo4j-server.properties中添加:org.neo4j.server.credentials=username:passwordorg.neo4j.server.thirdparty_jaxrs_classes=org.neo4j.server.extension.auth=/au...
java导入数据 neo4j_Neo4j基本使用及导入三元组
weixin_42511157的博客
01-12 427
下载和安装Neo4j安装Java JDK下载Neo4j安装文件创建系统环境变量Neo4j配置配置文档存储在conf目录下,Neo4j通过配置文件neo4j.conf控制服务器的工作。默认情况下,不需要进行任意配置,就可以启动服务器。核心数据文件的位置例如,核心数据文件存储的位置,默认是在data/graph.db目录中,要改变默认的存储目录,可以更新配置选项:# The name of the d...
py2neo获取节点和关系的属性
luhjkehr的博客
11-18 5749
py2neo获取节点和关系的属性 使用py2neo创建图数据库后,可以在neo4j官网上看到自己创建的图,但是该图无法导出到我的前端项目中进行可视化,因此需要用python语言获取节点和关系的属性,将其传至前端,使用第三方工具d3.js画图。 传到前端的数组格式如下: data = { "nodes":[ {"name":"a","id":1971}, {"name":"b","id":1972} ],
Neo4j 3.2版正式发布:企业级扩展性增强、原生性能提高,还有更多特性
rind的博客
05-15 3776
上周末,Neo4j的3.2官方版正式发布,此版本在扩展架构性和程序的执行性能上得到了极大的增强,它标志着以图计算和图存储为核心的互联网应用从此可以扩展到球的架构。当然,此版本也在安性和法规遵从性上也有不少新的特性。   Neo4j的球多数据中心扩展架构 在介绍Neo4j是如何实现球性架构扩展能力之前,让我们先了解一下这个功能是构建在之前版本的哪一个模块之上,还
NEO4J的安装配置及使用总结
热门推荐
weixin_37197708的博客
03-06 3万+
#工具:使用neo4j desktop版本#一,下载工具      可以到官方网站上下载桌面版或者community版本的,下载地址:https://neo4j.com/, 安装好。二、配置环境变量     本文参考了http://blog.csdn.net/appleyk/article/details/79091898来配置的。使用的是jdk 1.8 131的版本。首先,在命令行中输入java...
图数据库——Neo4j(一)内部结构特点
GG的专栏
04-02 4452
本篇主要分析介绍Neo4j的内部结构特点. Neo4j主要通过构成图来存储数据,图中的数据包括节点、关系以及节点的属性和关系的属性,关系可以是双向的,也可以是只有单向的. 以下是它的一些特点 支持完整的ACID(原子性、一致性、隔离性和持久性) 支持常数级时间复杂度的图遍历 支持查询的数据导出为JSON和XLS格式 支持通过浏览器图形化界面形式访问 可以通过多种语言进行访问管理(Java、...
docker部署neo4j
最新发布
zhenyu333的博客
07-12 428
因为现在docker拉取neo4j镜像超时,所以从其他大佬搭建的仓库拉下来镜像文件。此文档为部署neo4j-3.4.0版本。
https://neo4j.com/developer/java/#_neo4j_jdbc_driver下载
05-30
Neo4j是一种图形数据库管理系统,它支持通过Java程序进行访问和操作。为了便于Java程序员使用Neo4j数据库,Neo4j提供了一个Java驱动程序,可以通过JDBC API使用该驱动程序连接Neo4j数据库。 在https://neo4j.com/developer/java/#_neo4j_jdbc_driver下载页面上,你可以找到Neo4j JDBC驱动程序的下载链接和使用指南。下载链接包含了所有的JAR文件,你可以根据自己的需要选择合适的版本进行下载。 在下载和安装驱动程序后,你就可以通过Java程序连接Neo4j数据库并进行操作了。具体的使用方法可以参考Neo4j官方文档或者使用文档中的代码示例作为参考。如果您有任何疑问,请随时询问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值