java jndi ldap_Java命名目录接口(JNDI)教程--LDAP用户的高级主题

最新推荐文章于 2021-10-09 11:27:53 发布
最新推荐文章于 2021-10-09 11:27:53 发布
阅读量203 收藏
点赞数
文章标签: java jndi ldap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42240669/article/details/114089916
版权

LDAP用户的高级主题

本节提供LDAP和JNDI之间映射的详细信息。同时提供使用JNDI访问LDAP服务器的暗示和提示。

LDAP

X.500,一个CCITT的目录服务器标准,是OSI否为套件的一部分。X.500标准定义了客户端应用程序访问X.500目录的协议,叫做目录访问协议(DAP)。它在开放系统互连(OSI)协议栈的顶层。

因特网委员会认为需要X.500类型的访问但底层的网络基础架构(是TCP/IP而不是OSI)不同,基于X.500 DAP协议设计了一个新协议,叫做轻量级DAP或LDAP。RFC 2251定义了成为版本3的LDAP(LDAPv3),这是它的前身LDAP v2(RFC 1777)的改进。

LDAP协议的目的是容易实现,特别是创建小的简单的客户端。一种尝试简化的成果是大量使用字符串来减少结构的使用。例如DN,在协议中以字符串表示,属性类型名和大多数属性值也是如此。

这个协议包含客户端向服务器发送的请求,对于服务器的应答,不需要按照请求的顺序进行。每一个请求有一个ID,所以请求和应答可以匹配。这个协议可以工作在TCP或UDP中,最常用的是TCP。

因为焦点在客户端,LDAP组织同时定义了DN的字符串表达(RFC 2553),搜索过滤器(RFC 1960),属性语法(RFC 1778),为C语言提供的API(RFC 1823),访问LDAP访问的URL格式(RFC 1959)。

LDAP v3支持国际化,多种认证技术,referral,以及一般的部署技术。使用extensions和controls添加新特性时不需要修改协议。

LDAP v3

国际化

国际化是通过国际化字符集(ISO 10646)表示协议中的字符串元素(例如DN)。v3与v2不同,v2使用UTF-8编码字符串。

认证

除了匿名,简单(明文密码)认证,LDAPv3使用简单认证以及安全层(SASL)认证架构(RFC 2222)允许在LDAP中使用不同的认证技术。SASL定义了客户端和服务器之间数据交换的认证的挑战-应答协议。

现在定义了一些SASL技术:DIGEST-MD5, CRAM-MD5,匿名,扩展,S/Key, GSSAPI以及Kerberos v4。LDAP v3客户端可以使用任意一种SASL技术,提供给支持这种技术的LDAP v3服务器。而且,新的(还没有定义的)SASL技术可以在不改变LDAP的情况下使用。

referrals

referral是服务器发送个客户端的信息,表示请求的信息可以在其他地方发现(很可能是其他服务器)。在LDAP v2中,服务器由服务器处理referral,不返回到客户端。因为实现referral是非常负载的并且可能导致很复杂的客户端。当服务器构建以及部署后,referral就变得十分有用,但不是很多服务器支持服务端的referral处理。所以,使用一种方法修改协议允许返回referral。通过在将referral放置在“partial result”错误应答的错误信息中实现。

LDAP v3显式支持referrals,允许服务器直接向客户端返回referrals。referrals不再本课中介绍,您可以求助于JNDI教程关于符合在应用程序中控制referrals的信息。

部署

LDAP这种普通协议可以用来确保目录客户端和服务器“说同一种语言”。当不同的目录客户端和服务器部署在网络中时,这些实体都说同样的对象是非常有用的。

目录架构描述,在其他东西中间,对象的类型,目录可能有的对象的类型,对象的每个必须的或可选属性。LDAP v3定义架构(RFC 2252和RFC 2256)基于X.500标准为了在网络中查找基本对象定义,例如,国家,地区,组织,用户/人,用户组和设备。它定义了客户端访问服务器架构的方法,所以可以发现对象的类型以及服务器支持的属性。

LDAPv3进一步定义了表示属性值的一组语法(RFC 2252)。要编写访问架构信息的Java应用程序,请参考JNDI教程。

扩展

除了预定义的所有操作,例如“search”和“modify”之外,LDAPv3定义了“extended”操作。“extended”将请求当作参数并且返回应答。请求中包含标识请求的标识符和请求参数。应答中包含请求执行的结果。“extended”操作中的请求和应答叫做扩展。例如,可以为开始TLS定义扩展,它是客户端向服务器的请求,用来开始Start TLS协议。

扩展可以是标准的(LDAP委员会定义的)或者私有的(由供应商定义)。要编写使用扩展的程序请参考JNDI教程。

Controls

添加新特性的另一种方法是使用control。LDAP v3允许通过使用control修改所有操作的行为。一个操作中可以发送任意多个control,同时结果中也可以返回任意数量的control。例如,您可以和“search”操作一起发送排序control,告诉服务器根据“name”属性对结果进行。

和扩展一样,control可以是标准的也可以是私有的。标准control由平台提供。编写使用control的应用程序请参考JNDI教程。

将JNDI作为LDAP的API

JNDI和LDAP的模型在命名对象时都使用层次结构的名字空间。名字空间中的每一个对象都可能有属性,而且这些属性可以用来搜索对象。在这种层次上,两个模型是类似的,所以JNDI可以对LDAP进行很好的映射也没有什么稀奇的。

模型

您可以将LDAP的条目想象成JNDI的DirContext。每个LDAP条目包含名称和一组属性,以及可选的子条目集合。例如,LDAP条目“o=JNDITutorial”可能有属性“objectclass”和“o”,同时可能有子条目“ou=Groups”和“ou=People”。

在JNDI中,LDAP条目“o=JNDITutorial”可以表示成名为“o=JNDITutorial”的上下文,它有两个子上下文,名叫“ou=Groups”和“ou=People”。LDAP条目属性使用Attributes接口表示,而独立的属性通过Attribute接口表示。

关于LDAP操作如何通过JNDI进行访问的详细信息请参考下一部分。

名字

为了联合查询,您提供给JNDI上下文方法的名称可以跨越多个命名空间。这些叫做混合名字。当使用JNDI访问LDAP服务时,您需要明白字符串中的斜杠(“/”)在JNDI中特殊的含义。如果JNDI条目包含这个字符,需要进行转义(使用“\”)。例如,使用名称“cn=O/R”的LDAP条目在JNDI context的方法中,必须使用“cn=O\\/R”标识。关于名字的更多信息,请参考JNDI教程。LdapName和Rdn类简要介绍了创建和操作LDAP名字的方法。

协议中LDAP的名称总是完全的名字,表示从LDAP命名空间根开始的唯一条目(由服务器定义)。以下是一些LDAP全名的例子:

cn=John Smith, ou=Marketing, o=Some Corporation, c=gb

cn=Vinnie Ryan, ou=People, o=JNDITutorial

然而,在JNDI中,名字是相对的,即,您总是相对于上下文命名对象。例如,您可以相对于上下文“ou=People, o=JNDITutorial”对“cn=Vinnie Ryan”条目进行命名。或者,您可以相对于上下文“o=JNDITutorial”对条目“cn=Vinnie Ryan, ou=People”进行命名。或者,您可以创建初始上下文指向LDAP服务器命名空间的根,然后命名条目“cn=Vinnie Ryan, ou=People, o=JNDITutorial”。

在JNDI中,您同样可以使用LDAP的URL来命名LDAP条目。请参考JNDI教程中的LDAP URL讨论。

LDAP操作如何映射到JNDI API

LDAP定义了一组操作或请求(RFC 2251)。在JNDI中,这些操作被映射到DirContext和LdapContext接口中,它们都是Context的子接口。例如,当请求DirContext中的方法时。LDAP服务提供者通过将LDAP请求发送给LDAP服务器实现这个操作。

下表描述和LDAP操作对应的JNDI方法:

LDAP操作

对应的JNDI方法

bind

这是创建LDAP服务器初始连接的方式,对应JNDI中创建InitialDirContext对象。当应用程序创建初始上下文,它在环境参数中向服务器提供客户端认证信息。要修改一个已经存在上下文的认证信息,使用Context.addToEnvironment()和Context.removeFromEnvironment()。

Unbind

Context.close()用来释放上下文使用的资源。服务提供者的实现和LDAP的unbind操作有一些不同,资源在上下文之间共享,所以关闭上下文当资源被其他上下文使用时就不会释放。如果您的意图是释放所有资源,需要关闭所有上下文。

Search

JNDI中对应方法是DirContext.search()中接收搜索过滤器(RFC 2254)的重载形式。

modify

JNDI中对应方法是DirContext.modifyAttributes()中接收DirContext.ModificationItems数组的重载形式。示例请看修改属性一节。

Add

JNDI中对应方法是DirContext.bind()和DirContext.createSubcontext()。您可以使用它们添加一个新的LDAP条目。使用bind(),您不但需要指定新条目的属性集合同时需要和属性一起的Java对象。示例请参考关联属性的添加、替换绑定一节。

Delete

JNDI中对应的方法是Context.unbind()和Context.destroySubcontext()。您可以使用它们移除LDAP条目。

modify DN/RDN

JNDI中对应方法是Context.rename()。请参考重命名对象一节得到详细信息。

compare

在JNDI中可以使用DirContext.search()代替。示例请参考LDAP比较操作一节。

abandon

当您关闭上下文时,所有没有应答的请求都被放弃。类似的,当关闭NamingEnumeration,相应的LDAP“search”请求也放弃了。

Extended操作

JNDI中对应的方法是LdapContext.extendedOperation()。详细信息请参考JNDI教程。

LDAP错误码如何映射到JNDI异常

LDAP定义了一组状态码,它们是由LDAP服务器作为应答发送给客户端的(RFC 2251)。在JNDI中,错误条件由Naming Exceptions子类的检查的异常标识。请参考JNDI异常类概述中的Naming Exceptions。

粉丝平台
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java连接LDAP的jar包和实例
04-09
java连接LDAP实例和jar包,里面包含ssl连接和更改LDAP属性的例子,公参考
SASL协议java实现
[email protected]
02-26 1648
SASL(简单授权和安全层)是一个互联网标准,它制定了一个鉴权协议,且在client和server之间建立连接SASL定义了鉴权数据如何交换,但是并没有制定数据的内容。它是一个鉴权机制框架。 SASL通过LDAP v3和IMAP v4协议来确保鉴权是可插拔的。而不是硬编码一个鉴权方法到协议。 SASL是一种challange-response协议,server发布challen...
LDAP+AD域+SSL连接 总结版
weixin_49245941的博客
10-09 2985
LDAP(轻型目录访问协议) 通过IP协议提供访问控制和维护分布式信息的目录信息 是一个为查询、浏览和搜索而优化的数据库,它成树状结构组织数据,类似文件目录一样。 1、LDAP的结构用树来表示,而不是用表格。可以使用JDBC方式或者JNDI方式操作。 2、LDAP可以很快地得到查询结果,不过在写方面,就慢得多。 3、LDAP提供了静态数据的快速查询方式。 4、Client/server模型,Server 用于存储数据,Client提供操作目录信息树的工具。 5、LDAP是一种开放Internet标准,LD
Java sasl指南
Java&&大数据专栏
09-25 5952
http://docs.oracle.com/javase/1.5.0/docs/guide/security/sasl/sasl-refguide.html 未完,待续
jndi.zip_java ldap_jndi_jndi ldap_ldap_ldap java
09-24
JNDI 操作 LDAP的几个例子源码 包括连接、添加、删除、修改、搜寻
rogue-jndi:用于JNDI注入攻击的恶意LDAP服务器
05-04
该项目包含LDAP和HTTP服务器,用于利用默认情况下不安全的Java JNDI API。 为了执行攻击,您可以在本地启动这些服务器,然后在易受攻击的客户端上触发JNDI解析,例如: InitialContext . doLookup( " ldap://your_...
jndi-tool JNDI服务利用工具
01-06
JNDI服务利用工具 RMI/LDAP,支持部分场景回显、内存shell,高版本JDK场景下利用等,fastjson rce命令执行,log4j rce命令执行 漏洞检测辅助工具
基于JavaJNDILDAP Demo
05-24
基于Java JNDI 操纵LDAP的基础实现,包括LDAP连接相关生命周期,认证的两种策略demo,条目的操作,schema的基础操作包括(attributeDefinition\objectDefinition\)但未包含相关syntaxDefinition的操纵. 没有资源分的朋友...
JNDIExploit:用于JNDI注入攻击的恶意LDAP服务器
03-19
JNDI漏洞利用 一款用作JNDI注入利用的工具,大量参考/引用了Rogue JNDI项目的代码,支持直接插入植入内存shell ,并集成了常见的bypass 高版本JDK的方式,适用于与自动化工具配合使用。 使用说明 使用java -jar ...
如何使用Java操作LDAPLDAP连接(一)
luckdog_hot的专栏
02-20 3355
JAVA操作LDAP有几种方法,这里主要介绍的是JNDI包,就是它:     com.sun.jndi.ldap.LdapCtxFactory       LDAP默认情况下使用的是BDB数据库,所以呢,操作LDAP就和操作数据库一样,要分几步走:     1、先导入所需的包,如下: import java.util.ArrayList; import java.util
java sasl例子_SaslClient
weixin_35956312的博客
02-28 493
执行SASL身份验证作为客户端。诸如LDAP之类的协议库获取此类的实例,以执行由特定SASL机制定义的认证。 调用SaslClient实例过程的方法,并根据SaslClient实现的SASL机制创建响应。 当认证进行时,该实例封装了SASL客户端认证交换的状态。以下是LDAP库如何使用SaslClient 。 它首先得到一个SaslClient的实例:SaslClient sc = Sasl.cr...
ldap 自定义目录_实施自定义用户注册表以合并LDAP服务器和活动目录
服务器编程交流平台
07-07 223
ldap 自定义目录 您是否应该实施自定义用户注册表来帮助减轻对各种LDAP服务器的访问,以简化身份验证和组关联之类的安全任务? 这个问题的答案是“不”。 定制用户注册表的简单之处 从表面上看,实现自定义用户注册表很简单。 尽管一个应用程序服务器与另一个应用程序服务器之间略有不同,但是要实现自定义用户注册表,通常只需要编写一两个Java类,即可为六种左右的方法提供实现,这些方法可以执行诸...
windows下搭建LDAP并利用Java实现对LDAP的操作
weixin_30879833的博客
12-10 238
什么是LDAP,百度百科一堆专业术语的描述。 我总结为一句话:轻量级目录访问协议,有数据库的数据存储功能,以树状层次型存储方式,就好像你的电话薄那样。 在一次项目中,由于该项目是教育性管理项目,客户要求项目必须部署在内网。那么在内网的话,就代表用户需要去拨VPN才能进行内网的访问。 其实当时我想到的是,单独开个注册映射到外网,让用户自己注册,管理员进行审核,然后用VPN去读数据...
JNDI的使用
Mr. David 专栏
11-06 6637
 Java命名目录接口(the Java naming and directory interface,JNDI)是一组在Java应用中访问命名目录服务的API。命名服务将名称和对象联系起来,使得读者可以用名称访问对象。目录服务是一种命名服务,在这种服务里,对象不但有名称,还有属性。  命名目录服务使读者可以集中存储共有信息,这一点在网络应用中是非常重要的,因为这使得这样的应用更协调、更
java jndi ldap_封装jndi操作ldap服务器的工具类
weixin_39913117的博客
02-16 316
package com.common.ldapconnection;import org.apache.log4j.logger;/*** 功能描述:连接ldap连接属性* @author liaowufeng* @version 1.0*/public class env {// 调用log4j的日志,用于输出private logger log = logger.getlogger(env....
虚拟ldap服务器,什么是LDAPLDAP服务器是什么?
weixin_28989357的博客
08-13 727
从上述定义不难看出LDAP是一个目录,那么该目录是如何出现,有什么用呢?在当今的信息世界,网络为人们提供了丰富的资源。随着网络资源的日益丰富,迫切需要一种能有效管理资源信息并利于检索查询的服务技术。目录服务技术随之产生。1.LDAP目录服务可以有效地解决众多网络服务的用户账户问题。2.LDAP目录服务规定了统一的身份信息数据库、身份认证机制和接口,实现了资源和信息的统一管理,保证了数据的一致性和完...
javaldap用户组新增新属性,将Ldap用户与使用Java的组关联
weixin_42500963的博客
02-27 458
I'm having problems to find how to associate a #Ldap user to a given group.That is what I have tried:Attributes attrs = new BasicAttributes();BasicAttribute basicAttrs = new BasicAttribute("objectclas...
java 操作 ldap_JAVA操作LDAP总结
最新发布
05-25
LDAP(Lightweight Directory Access Protocol)是一种轻量级目录访问协议,旨在提供对目录服务的快速访问。在Java中,可以通过使用JNDIJava Naming and Directory Interface)API来操作LDAP。 下面是一些Java操作LDAP的常见步骤和示例代码: 1.创建连接对象 ``` Hashtable<String, String> env = new Hashtable<String, String>(); env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.ldap.LdapCtxFactory"); env.put(Context.PROVIDER_URL, "ldap://localhost:389"); env.put(Context.SECURITY_AUTHENTICATION, "simple"); env.put(Context.SECURITY_PRINCIPAL, "cn=admin,dc=example,dc=com"); env.put(Context.SECURITY_CREDENTIALS, "password"); DirContext ctx = new InitialDirContext(env); ``` 2.查询数据 ``` String base = "ou=people,dc=example,dc=com"; String filter = "(objectclass=person)"; SearchControls sc = new SearchControls(); sc.setSearchScope(SearchControls.SUBTREE_SCOPE); NamingEnumeration<SearchResult> results = ctx.search(base, filter, sc); while (results.hasMore()) { SearchResult sr = (SearchResult) results.next(); // 处理查询结果 } ``` 3.添加数据 ``` Attributes attrs = new BasicAttributes(); attrs.put("cn", "John Smith"); attrs.put("sn", "Smith"); attrs.put("givenName", "John"); attrs.put("mail", "[email protected]"); attrs.put("userPassword", "password"); ctx.createSubcontext("cn=John Smith,ou=people,dc=example,dc=com", attrs); ``` 4.修改数据 ``` ModificationItem[] mods = new ModificationItem[1]; mods[0] = new ModificationItem(DirContext.REPLACE_ATTRIBUTE, new BasicAttribute("mail", "[email protected]")); ctx.modifyAttributes("cn=John Smith,ou=people,dc=example,dc=com", mods); ``` 5.删除数据 ``` ctx.destroySubcontext("cn=John Smith,ou=people,dc=example,dc=com"); ``` 这些是Java操作LDAP的一些基本步骤和示例代码,但实际应用中还需要考虑LDAP服务器的具体配置和授权等问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值