更改用户账户密码,必须要使用ssl方式登录到AD。
网上大部分教程使用TrustStore的方式连接,
Hashtable env = newHashtable();
System.setProperty("javax.net.ssl.trustStore", KEYSTORE);
System.setProperty("javax.net.ssl.trustStorePassword", KEYSTORE_PWD);
env.put(Context.INITIAL_CONTEXT_FACTORY,"com.sun.jndi.ldap.LdapCtxFactory");
env.put(Context.SECURITY_AUTHENTICATION,"simple");
env.put(Context.SECURITY_PRINCIPAL, ADMIN_NAME);
env.put(Context.SECURITY_CREDENTIALS, ADMIN_PASSWORD);
env.put(Context.SECURITY_PROTOCOL,"ssl");
env.put(Context.PROVIDER_URL, LDAP_SSL_URL);try{
ctx= new InitialLdapContext(env, null);//new InitialDirContext(HashEnv);//初始化上下文
} catch(AuthenticationException e) {
System.out.println("身份验证失败!"+e.toString());
e.printStackTrace();
}catch(CommunicationException e) {
System.out.println("AD域连接失败!"+e.toString());
e.printStackTrace();
}catch(Exception e) {
System.out.println("身份验证未知异常!"+e.toString());
e.printStackTrace();
}finally{returnctx;
}
最后ssl连接失败,报如下错误:javax.naming.CommunicationException: simple bind failed: xxxx:636 [Root exception is javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target]。
也有部分教程提到了绕过ssl的方式,但是都只有部分代码,直到遇到了这段代码
重要备注:虽然该方式可以避免使用TrustStore认证的方式,但是ad域控服务器仍然需要添加信任证书,如下
且该证书对应的域名必须和AD域控所管理的域保持一致(也可能是AD域对应的证书服务器颁发的证书,我们的域控恰好是对应的证书服务器),域控处于dccn.com, 则证书不能使用例如abc.test.com,否则会报DNS异常如下:
javax.naming.CommunicationException: simple bind failed: cdt.xxx.cn:636 [Root exception is javax.net.ssl.SSLHandshakeExceptio