AD域验证登陆

最新推荐文章于 2024-04-23 16:18:40 发布
最新推荐文章于 2024-04-23 16:18:40 发布
阅读量1.4k 收藏
点赞数
文章标签: ldap java python
原文链接:https://my.oschina.net/u/3409039/blog/898148
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

一些公司经常对开发者提出一些的问题。比如在oa系统中,要求登录验证必须使用ad域进行登录。还有的如登录crm系统必须使用公司的阿里云邮箱账号进行身份验证等等。
作为程序员我们只能按照客户的需求进行完善系统。毕竟客户才是我们的衣食父母,没办法拒绝。我这里就列举一些,在系统中集成ad域身份验证的一些配置信息,并一一解释他们的作用。
直接看代码:

[java] view plain copy

1.   public boolean login() {  

2.           // 判断必填字段是否全部填写  

3.           if (StringUtils.isEmpty(this.username)  

4.               || StringUtils.isEmpty(this.domain)  

5.               || StringUtils.isEmpty(this.ip)) {  

6.               logger.info("必填信息为空,LDAP连接失败!");  

7.               return false;  

8.           }  

9.           Properties env = new Properties();  

10.         String account = this.username + "@" + this.domain;  

11.         String ldapURL = "LDAP://" + this.ip + ":" + this.port;  

12.         env.put(Context.PROVIDER_URL, ldapURL);  

13.         env.put(Context.SECURITY_AUTHENTICATION, "simple");  

14.         env.put(Context.SECURITY_PRINCIPAL, account);  

15.         env.put(Context.SECURITY_CREDENTIALS, this.password);  

16.         env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.ldap.LdapCtxFactory");    

17.         //批量处理  

18.         env.put(Context.BATCHSIZE, "50");  

19.         // 连接超时设置  

20.         env.put("com.sun.jndi.ldap.connect.timeout", "3000");  

21.         // LDAP连接池  

22.         env.put("com.sun.jndi.ldap.connect.pool", "true");  

23.         // LDAP连接池最大数  

24.         env.put("com.sun.jndi.ldap.connect.pool.maxsize", "3");  

25.         // LDAP连接池优先数  

26.         env.put("com.sun.jndi.ldap.connect.pool.prefsize", "1");  

27.         // LDAP连接池超时  

28.         env.put("com.sun.jndi.ldap.connect.pool.timeout", "300000");  

29.         // LDAP连接池初始化数  

30.         env.put("com.sun.jndi.ldap.connect.pool.initsize", "1");  

31.         // LDAP连接池的认证方式  

32.         env.put("com.sun.jndi.ldap.connect.pool.authentication", "simple");  

33.         try {  

34.             dc = new InitialLdapContext(env, null);  

35.             logger.info("域用户" + this.username + " 登录" + account + "成功!");  

36.             return true;  

37.         } catch (Exception e) {  

38.             logger.info("域用户" + this.username + " 登录" + account + "失败!");  

39.             return false;  

40.         }  

41.     }  

 

 

附AD域错误解析:

LDAP error Code 及解决办法

LDAP error Code 及解决方法

  1. error code 53

  ===========================================================================

  问题:创建新用户时出现数据后端异常

  在 WebSphere Portal Express 中,您可以设置密码的最短和最长长度。如果设置的密码长度与 LDAP 服务器的策略不相同,则在创建用户时您可能会看到以下异常:

  EJPSG0015E: Data Backend Problem com.ibm.websphere.wmm.exception.WMMSystemException:

  The following Naming Exception occurred during processing:

  "javax.naming.OperationNotSupportedException: [LDAP: error code 53 - 0000052D:

  SvcErr: DSID-031A0FBC, problem 5003 (WILL_NOT_PERFORM), data 0

  ]; remaining name 'cn=see1anna,cn=users,dc=wps510,dc=rtp,dc=raleigh,dc=ibm,dc=com';

  resolved object com.sun.jndi.ldap.LdapCtx@7075b1b4".

  原因:这是由于“密码不能满足密码策略的要求”导致

  解决方案:

  1. 打开域安全策略-安全设置-账户策略-密码策略-密码必须符合复杂性要求。定义这个策略设置为:已禁用。/ 密码长度最小值:定义这个策略设置为0。

  2. 打开域控制器安全策略-安全设置-账户策略-密码策略-密码必须符合复杂性要求。定义这个策略设置为:已禁用。/ 密码长度最小值:定义这个策略设置为0。

  3. 最后运行刷新组策略命令为:gpupdate /force

  ===========================================================================

  2. Need to specify class name

  ===========================================================================

  javax.naming.NoInitialContextException: Need to specify class name in environment or system property, or as an applet parameter, or in an application resource file: java.naming.factory.initial

  原因:LdapContext在处理完上个环节被close(),LdapContext=null;

  解决方案:不close;

  3. error code 50

  ===========================================================================

  javax.naming.NoPermissionException: [LDAP: error code 50 - 00002098: SecErr: DSID-03150A45, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

  4. error code 68

  ===========================================================================

  javax.naming.NameAlreadyBoundException: [LDAP: error code 68 - 00000524: UpdErr: DSID-031A0F4F, problem 6005 (ENTRY_EXISTS), data 0

  原因:创建的用户已经存在了

  5. No trusted certificate

  ===========================================================================

  javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: No trusted certificate found

  1.cas机器A,A上a,b,c服务运行良好

  2.website 位于B机器,cas可以截获请求,跳转javax.net.ssl.SSLHandshakeException

  将A上生生成的客户端密钥,导入B

  A运行

  sudo keytool -genkey -alias tomcat -keyalg RSA -keypass changeit -storepass changeit -keystore server.keystore -validity 3600

  $ keytool -export -trustcacerts -alias tomcat -file server.cer -keystore server.keystore -storepass changeit

  $ sudo keytool -import -trustcacerts -alias tomcat -file server.cer -keystore $JAVA_HOME/jre/lib/security/cacerts -storepass changeit

  B运行最后一句即可

  建立信任关系,客户,服务密钥,客户多处

  6. error code 1

  ===========================================================================

  javax.naming.NamingException: [LDAP: error code 1 - 00000000: LdapErr: DSID-0C090AE2, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, vece

  原因:新增域用户的时候,ctx没有绑定管理员用户

  解决方法:ctx.addToEnvironment(Context.SECURITY_PRINCIPAL, adminUser + "@" + ldapProperty.getDomain());

  ctx.addToEnvironment(Context.SECURITY_CREDENTIALS, adminPwd);

  7. error code 50

  ==========================================================================

  javax.naming.NoPermissionException: [LDAP: error code 50 - 00000005: SecErr: DSID-03151E04, problem 4003 (INSUFF_ACCESS_RIGHTS)

  原因:新建域用户时候,ctx绑定到一个普通用户(该用户没有新建用户的权限)

  解决方法:使用管理员用户进行绑定:

  ctx.addToEnvironment(Context.SECURITY_PRINCIPAL, adminUser + "@" + ldapProperty.getDomain());

  ctx.addToEnvironment(Context.SECURITY_CREDENTIALS, adminPwd);

  8. error code 19

  ==========================================================================

  javax.naming.directory.InvalidAttributeValueException: [LDAP: error code 19 - 0000052D: AtrErr: DSID-03190F00, #1:

  0: 0000052D: DSID-03190F00, problem 1005 (CONSTRAINT_ATT_TYPE)

  原因:这个最大的可能是不满足域安全策略:如密码复杂性、密码最短使用期限、强制密码历史。即长度、包含的字符、多久可以修改密码、是否可以使用历史密码等。

  9. LDAP: error code 50

  ==========================================================================

  javax.naming.NoPermissionException: [LDAP: error code 50 - 00000005: SecErr: DSID-031A0F44, problem 4003 (INSUFF_ACCESS_RIGHTS)

  原因:这个是最初代码使用的replace操作,这个在AD里对应的是密码重设(普通用户默认没有这个权限,管理员可以操作),另外remove操作时提供的旧密码错误也可能报这个异常

  10. RSA premaster secret error

  ==========================================================================

  javax.naming.CommunicationException: simple bind failed: 172.18.20.4:636 [Root exception is javax.net.ssl.SSLKeyException: RSA premaster secret error]

  原因:Tomcat 配置的JDK与添加证书的的JDK不一致。如:证书存放路径为C:\Java\jdk1.6.0_10\jre\lib\cacerts 而Tomcat 配置的JDK为C:\Java\jre6 ,使得两者路径不一致,SSL验证的时候,找不到证书

  11.No trusted certificate found

  ==========================================================================

  javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: No trusted certificate found

  原因:信任证书库文件路径不正确

  解决方法:将正确工程中 \WEB-INF\classes目录下

  12. error code 49

  ==========================================================================

  javax.naming.AuthenticationException: [LDAP: error code 49 - 80090308: LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 52e, vece

  原因:用户名或密码错误

 

转载于:https://my.oschina.net/u/3409039/blog/898148

weixin_33938733
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
添加AD验证身份验证)到现有网站
a977638248的博客
08-23 1197
每个网站几乎都会有用户登录的模块,登录就会涉及到身份验证的过程。通常的做法是在页面上有个登录的Form,然后根据用户名和密码到数据库中去进行验证。 而验证后如何在网站的各个页面维持这种认证过的状态,有时需要自己去实现(通过cookie或者其他的方式)。 然而,asp.net提供了几种身份验证的机制,可以方便我们进行验证。其中常用的是Forms和Windows。目前的需求是在原有...
使用AD登陆验证
qq_31200607的博客
04-16 1898
        今天看代码看到登陆时使用了AD验证的方式来验证用户名密码,故学习记录一下。        AD是用来集中管理用户的,比如我们电脑上就有一个设置,他可以用来设置我们的电脑允许和不允许的操作,比如不能安装乱七八糟软件什么的。只需要在控制器上进行一道设置,就可以批量管理许多用户的设置,十分便捷。至于用AD验证登陆,就是我们的程序并不知道任何用户名密码,也不保存,每次登录时将用...
AD 单点登陆之 用户名密码验证 (五)
suzsoft_yz的专栏
12-18 490
Java  AD 验证 用户名和密码   http://sapfamer.iteye.com/blog/1115488 http://www.cnblogs.com/yzy-lengzhu/archive/2013/01/23/2873588.html http://tieba.baidu.com/p/267871932
登录/手机号+验证码/扫码
m2363686050的博客
07-03 201
4.当用户在客户端输入账号密码,经过校验之后点击登录按钮,然后会发送请求到后端,后端接受通过校验之后,会生成一个Token 值,然后我们在前端可以通过localStorage.getltem('token')获取到这个token,然后接下来用户再登录,我们会先判断token是否存在,所以我一般是在axios的请求拦截器中统一给添加到请求头上。如果不是,那就重定向到登录页。5.用户点击登录后,前端调用后端接口,通知后端:“"123"对应的用户是我,我已经授权PC网页登录了,我的用户信息是:XXXXX”。
JAVAAD登录用户同步 (LDAP AD登录用户同步)
qq_39969506的博客
07-29 3684
关于AD的介绍 ,就百度一搜一大把啦; 这里主要分享一下拿来就用的java代码; 公用私有方法:连接到AD private LdapContext ldapContext = null; private LdapConfig ldapConfig = null; private LdapContext ldapConnect() { LdapConfig config = getLdapConfig(); //此处是ad的连接配置信息 String usern
AD 登录验证
Practitioner
06-22 1984
注意:在测试的时候需要将 x.x.x.x,xxx,abc,123abc.替换成相应的服务器 IP ,服务器端口,用户名,用户密码。系统在登录的时候,需要根据用户名和密码验证连接服务器进行验证此用户是否为用户。某个用户是:abc@adservice.com 密码:abc123.spring-ldap-core 版本:2.0.2.RELEASE。AD为:DC=adservice,DC=com。单元测试:ADAuthJavaTest.java服务器地址:x.x.x.x。
AD学习并使用Java接入AD验证
weixin_44762522的博客
06-06 3787
当然首先要说明是哪一棵树(dc,相当于MYSQL的DB),然后是从树根到那个苹果所经过的所有“分叉”(ou),最后就是这个苹果的名字(uid,相当于MySQL表主键id)。中包含着大量的对象,如:组织单位(Organizational Unit),组(Group),用户(User),计算机(Computer),联系人(Contact),打印机,安全策略等。AD用户是最小的管理单位,用户最容易管理又最难管理,如果赋予用户的权限过大,将带来安全隐患,如果权限过小用户无法正常工作。
AD帐户登陆过程
weixin_43981575的博客
06-04 4149
首先帐户登陆过程分为:加终端查找控制器过程、认证登陆过程。 注释: Netlogon服务:控制器注册所有的SRV记录的服务; SRV记录:存储在DNS
java验证AD用户登录
01-09
验证AD用户登录 ,传入用户名(userName)和密码(password)进行验证
验证AD账号登陆,获取AD用户列表,获取用户邮箱
07-27
验证AD账号登陆,获取AD用户列表,获取用户邮箱,修改密码等AD操作
LDAP实现AD账号验证 - Java/SpringBoot
03-23
LDAP实现AD账号验证
Asp.Net(C#)AD验证WebService
04-26
Asp.Net(C#)AD验证WebService 解决方案里面提供两个方法,调用非常简单,方法三个参数:服务地址+端口、用户名、密码;如果服务器固定可以直接就爱那个第一个参数配置在Web.config中。
C# AD 验证
08-23
C#使用的用户名和密码,方便统一账号平台
kerberos:介绍
玉汝于成
04-19 1727
Kerberos是一种计算机网络授权协议,主要用于在非安全网络环境中对个人通信进行安全的身份认证。这个协议由麻省理工学院(MIT)开发,作为Athena项目的一部分,首次发布于1988年。Kerberos协议目前已经从v1发展到v5,其中v5在1993年被确定为标准的Kerberos协议(RFC1510)。Kerberos协议设计思想的核心是引入一个可信任的第三方来实现客户端和服务端的认证。在Kerberos中,这个可信任的第三方被称为密钥分发中心(KDC)。
将CSV转换为LDIF以便导入到ldap中?
chaoren499的专栏
04-22 138
python 把csv 数据转换ldif格式
ldap_add: Already exists (68)
最新发布
chaoren499的专栏
04-23 171
这个比较奇葩, 检测到存在就不执行了。
基于银河麒麟操作系统的国产化身份管解决方案
yuzijiang11111的博客
04-22 319
随着麒麟终端市场的打开,带来了一个问题:缺乏能够同时管理现有的 Windows 和 Linux 终端的自主创新身份管产品,为了满足针对麒麟终端和操作系统的统一管理和应用统一认证等需求,宁盾联合麒麟软件推出身份管解决方案。建设内容:基于银河麒麟高级服务器操作系统采用多活方式部署建设宁盾身份管平台,接管LDAP应用(如VPN、准入、堡垒机等)和Windows、银河麒麟终端的统一登录;本方案主要面向金融行业、高端制造业、医疗行业、政府单位、国有企业客户终端管理场景,可针对国产终端实现类AD管理的功能。
Django项目无法安装python-ldap依赖解决方案
小蜜蜂1010的博客
04-21 1117
python-ldap的依赖在windows系统上是无法正常安装的,官方给的解决方法就是去下载离线whl,给了一个离线whl下载网站(https://www.lfd.uci.edu/~gohlke/pythonlibs/),大家也不用去访问这个网站了,这个实验室网站已经移除whl下载功能了,访问也是page not found,而且国内的大学镜像网站比如清华的(根据提示,python-ldap的版本大于3.1就符合要求,但是 单独执行 pip install python-ldap ,仍然报错;
string模拟实现
m0_73969414的博客
04-23 936
c++中string的模拟实现,面试必会知识点
系统怎么采用exchange邮箱的AD密码验证登录
06-09
要实现使用Exchange邮箱的AD密码验证登录,需要进行以下步骤: 1. 确认Exchange服务器和AD的集成环境已经建立,确保Exchange服务器和AD可以相互通信。 2. 在Exchange服务器上启用基于AD的身份验证,以便...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值