AD域学习并使用Java接入AD域验证

最新推荐文章于 2024-10-18 15:04:10 发布
最新推荐文章于 2024-10-18 15:04:10 发布
阅读量5k 收藏 6
点赞数
文章标签: 学习 java 开发语言 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44762522/article/details/131063480
版权

1. 了解如何LDAP协议

1.1 LDAP协议入门

LDAP是轻量目录访问协议(LightweightDirectory Access Protocol)的缩写,LDAP标准实际上是在X.500标准基础上产生的一个简化版本。

1.2 目录结构

LDAP也可以说成是一种数据库,也有client端和server端。server端是用来存放数据,client端用于操作增删改查等操作,通常说的LDAP是指运行这个数据库的服务器。 只不过,LDAP数据库结构为树结构,数据存储在叶子节点上。

假设你要树上的一个苹果(一条记录),你怎么告诉园丁它的位置呢?
当然首先要说明是哪一棵树(dc,相当于MYSQL的DB),然后是从树根到那个苹果所经过的所有“分叉”(ou),最后就是这个苹果的名字(uid,相当于MySQL表主键id)。好了!这时我们可以清晰地指明这个苹果的位置了,就是那棵“歪脖树”的东边那个分叉上的靠西边那个分叉的再靠北边的分叉上的半红半绿的……

因此,在LDAP中,位置可以描述如下

树(dc=tree)
分叉(ou=furcation)
苹果(cn=apple)

那么如果我想描述一个苹果在ldap里面,那么描述如下

dn:cn=redApple,ou=furcation,dc=tree

dn标识一条记录,描述了数据的详细路径。因此,LDAP树形数据库如下

dn(Distinguished Name):一条记录的详细位置
dc:一条记录所属区域 (哪一颗树)
ou(Organization Unit) :一条记录所属组织 (哪一个分支)
cn/uid:一条记录的名字/ID (哪一个苹果名字)
LDAP目录树的最顶部就是根,也就是所谓的“基准DN"

2 了解AD域

2.1 AD入门

AD是Active Directory的缩写,AD是LDAP的一个应用实例,而不应该是LDAP本身。比如:windows域控的用户、权限管理应该是微软公司使用LDAP存储了一些数据来解决域控这个具体问题,只是AD顺便还提供了用户接口,也可以利用ActiveDirectory当做LDAP服务器存放一些自己的东西而已。比如LDAP是关系型数据库,微软自己在库中建立了几个表,每个表都定义好了字段。显然这些表和字段都是根据微软自己的需求定制的,而不是LDAP协议的规定。然后微软将LDAP做了一些封装接口,用户可以利用这些接口写程序操作LDAP,使得ActiveDirectory也成了一个LDAP服务器。

2.2 作用
2.2.1 用户服务

管理用户的域账号、用户信息、企业通信录(与电子邮箱系统集成)、用户组管理、用户身份认证、用户授权管理、按需实施组管理策略等。这里不单单指某些线上的应用更多的是指真实的计算机,服务器等。

2.2.2 计算机管理

管理服务器及客户端计算机账户、所有服务器及客户端计算机加入域管理并按需实施组策略。

2.2.3 资源管理

管理打印机、文件共享服务、网络资源等实施组策略。

2.2.4 应用系统的支持

对于电子邮件(Exchange)、在线及时通讯(Lync)、企业信息管理(SharePoint)、微软CRM,ERP等业务系统提供数据认证(身份认证、数据集成、组织规则等)。这里不单是微软产品的集成,其它的业务系统根据公用接口的方式一样可以嵌入进来。

2.2.5 客户端桌面的管理

系统管理员可以集中的配置各种桌面配置策略,如:用户适用域中资源权限限制、界面功能的限制、应用程序执行特征的限制、网络连接限制、安全配置限制等。

2.3 AD域结构常用对象
2.3.1 域(Domain)

域是AD的根,是AD的管理单位。域中包含着大量的域对象,如:组织单位(Organizational Unit),组(Group),用户(User),计算机(Computer),联系人(Contact),打印机,安全策略等。
可简单理解为:公司总部。

2.3.2 组织单位(Organizational Unit 简称ou)

组织单位简称为OU是一个容器对象,可以把域中的对象组织成逻辑组,帮助网络管理员简化管理组。组织单位可以包含下列类型的对象:用户,计算机,工作组,打印机,安全策略,其他组织单位等。可以在组织单位基础上部署组策略,统一管理组织单位中的域对象。

可以简单理解为:分公司。

2.3.3 群组(Group)

群组是一批具有相同管理任务的用户账户,计算机账户或者其他域对象的一个集合。例如公司的开发组,产品组,运维组等等。可以简单理解为分公司的某事业部。
群组类型可以分为两个类型

安全组:用来设置有安全权限相关任务的用户或者计算机账户的集合。比如:Tiger组都可以登录并访问某ftp地址,并拿到某个文件。
通信组:用于用户之间通信的组,适用通信组可以向一组用户发送电子邮件。比如:我要向团队内10为成员都发送同一封邮件这里就要抄送9次,而使用组的话我直接可以发送给@Tiger,所有Tiger组内的成员都会收到邮件。

2.3.4 用户(User)

AD中域用户是最小的管理单位,域用户最容易管理又最难管理,如果赋予域用户的权限过大,将带来安全隐患,如果权限过小域用户无法正常工作。可简单理解成为某个工作人员。
域用户的类型,域中常见用户类型分为:

普通域用户:创建的域用户默认就添加到"Domain Users"中。
域管理员:普通域用户添加进"Domain Admins"中,其权限升为域管理员。
企业管理员:普通域管理员添加进"Enterprise Admins"后,其权限提升为企业管理员,企业管理员具有最高权限。

总之:Active Directory =LDAP服务器+LDAP应用(Windows域控)。ActiveDirectory先实现一个LDAP服务器,然后自己先用这个LDAP服务器实现了自己的一个具体应用(域控)。

3. 搭建AD域环境

这里需要准备两个虚拟机用于测试,分别上Windows server 2012和window 7 (这里win7的版本要选择专业版本,不要选择家庭教育版,后者会阉割掉部分功能,导致不能加入域)
这里搭建AD环境参考链接AD域环境搭建第一篇AD域环境搭建第二篇

4. 搭建AD域证书服务

这里证书服务安装参考链接:WINDOWS SERVER 2012证书服务安装配置

注意上面安装好后,如果直接用ssl连接ldap去认证AD会报错,这里可以参考链接:https://blog.csdn.net/hct368/article/details/97247258

5. 使用Java去接入认证AD

(1). 特别注意:Java操作查询域用户信息获取到的数据和域管理员在电脑上操作查询的数据可能会存在差异(同一个意思的表示字段,两者可能不同)。

(2). 连接ad域有两个地址: ldap://http://XXXXX.com:389 和 ldap://http://XXXXX.com:636(SSL)。

(3). 端口389用于一般的连接,例如登录,查询等非密码操作,端口为636的安全性较高,用户密码相关操作,例如修改密码等。

(4). 域控可能有多台服务器,之间数据同步不及时,可能会导致已经修改的数据被覆盖掉,这个要么域控缩短同步的时间差,要么同时修改每一台服务器的数据。

5.1 使用389登陆
/**
* 只要不抛出异常就是验证通过
* 返回的上下文可以查询Ad域的用户信息
* @param username 用户名称,cn,ou,dc 分别:用户,组,域; 例如:CN=lufei,ou=深圳分公司,ou=开发部,dc=ceshi,dc=com 或 lufei@ceshi.com
* @param password 用户密码
* */
public static DirContext login(String username,String password){
    DirContext ctx = null;
    Hashtable<String, String> env = new Hashtable<String, String>();
    env.put(Context.SECURITY_AUTHENTICATION, "simple"); // LDAP访问安全级别(none,simple,strong);
    env.put(Context.SECURITY_PRINCIPAL, username); // AD的用户名
    env.put(Context.SECURITY_CREDENTIALS, password); // AD的密码
    env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.ldap.LdapCtxFactory"); // LDAP工厂类
    env.put("com.sun.jndi.ldap.connect.timeout", "3000");// 连接超时设置为3秒
    env.put(Context.PROVIDER_URL, "ldap://" + URL + ":" + PORT);// 默认端口389
    try {
        ctx = new InitialDirContext(env);// 初始化上下文
        System.out.println("身份验证成功!");
        return ctx;
    } catch (AuthenticationException e) {
        System.out.println("身份验证失败!");
        e.printStackTrace();
        return ctx;
    } catch (javax.naming.CommunicationException e) {
        System.out.println("AD域连接失败!");
        e.printStackTrace();
        return ctx;
    } catch (Exception e) {
        System.out.println("身份验证未知异常!");
        e.printStackTrace();
        return ctx;
    } finally {
        if (null != ctx) {
            try {
                ctx.close();
                ctx = null;
            } catch (Exception e) {
                e.printStackTrace();
            }
        }
    }
}
5.2 使用636登录

这里需要将证书到处到本地,用keytool将证书导入本地秘钥库,可以参考链接:https://blog.csdn.net/hct368/article/details/97247258

/**
 * @param username 用户名称,cn,ou,dc 分别:用户,组,域; 例如:CN=lufei,ou=深圳分公司,ou=开发部,dc=ceshi,dc=com 或 lufei@ceshi.com
 * @param password
 * */
public static LdapContext sslLogin(String username, String password){
    Hashtable env = new Hashtable();
    String javaHome = System.getProperty("java.home");
    String keystore = javaHome+"/lib/security/cacerts";
    System.setProperty("javax.net.ssl.trustStore", keystore);
    System.setProperty("javax.net.ssl.trustStorePassword", "changeit");//私钥密码
    System.setProperty("com.sun.jndi.ldap.object.disableEndpointIdentification", "true");
    String LDAP_URL = "ldaps://"+ URL +":"+ SSL_PORT; // LDAP访问地址

    env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.ldap.LdapCtxFactory");
    env.put(Context.SECURITY_PROTOCOL, "ssl");//链接认证服务器
    env.put(Context.PROVIDER_URL, LDAP_URL);
    env.put(Context.SECURITY_AUTHENTICATION, "simple");
    env.put(Context.SECURITY_PRINCIPAL, username);
    env.put(Context.SECURITY_CREDENTIALS, password);
    try {
        LdapContext ldapContext = new InitialLdapContext(env, null);
        System.out.println("认证成功!");
        return ldapContext;
    } catch (javax.naming.AuthenticationException e) {
        e.printStackTrace();
        System.out.println("认证失败!");
    } catch (Exception e) {
        e.printStackTrace();
        System.out.println("认证出错!");
    }
    return null;
}
5.3 查看用户信息
 /**
 * 查询用户信息
 * @param dirContext
 * @param searchBase 域节点 如dc=ceshi,dc=com
 * @param userCount 查询的用户名称 用户名称,cn,ou,dc 分别:用户,组,域; 例如:CN=lufei,ou=深圳分公司,ou=开发部,dc=ceshi,dc=com
 * */
public static void getUserInfo(DirContext dirContext,String searchBase,String userCount) throws NamingException {
    String company = "";
    String result = "";
    List<Map<String, String>> resultList = new ArrayList<>();
    /**
     * LDAP搜索过滤器类
     * cn=*name*模糊查询
     * cn=name 精确查询
     * String searchFilter = "(objectClass="+type+")";*/
    String searchFilter = "(sAMAccountName="+userCount+")";
    SearchControls searchControls = new SearchControls();    // 创建搜索控制器
    String  returnedAtts[]={"description","sAMAccountName","userAccountControl"};//返回指定属性,null返回所有属性,空数组不返回任何属性
    searchControls.setReturningAttributes(returnedAtts);
    searchControls.setSearchScope(SearchControls.SUBTREE_SCOPE);//设置搜索范围 深度
    NamingEnumeration answers = dirContext.search(searchBase,searchFilter,searchControls);//根据设置的域节点、过滤器类和搜索控制器搜索LDAP得到结果
    //初始化搜索结果数为0
    int totalResults = 0;
    int rows = 0;
    //遍历结果集
    while (answers.hasMoreElements()) {
        SearchResult searchResult = (SearchResult) answers.next();//得到符合条件的dn
        ++rows;
        String dn = searchResult.getName();//获取dn
        Attributes attributes =  searchResult.getAttributes(); //得到符合条件的属性集
        if (attributes != null) {
            try {
                for (NamingEnumeration ne = attributes.getAll();ne.hasMore();) {//遍历属性
                    Attribute attribute = (Attribute) ne.next();
                    System.out.println(attribute.getID() + ":" + attribute.get());
                    for (NamingEnumeration e = attribute.getAll();e.hasMore();totalResults++) {
                        company = e.next().toString();
                        Map<String,String> tempMap = new HashMap<>();
                        tempMap.put(attribute.getID(), company.toString());
                        resultList.add(tempMap);
                    }
                }
            }catch (Exception e) {
                e.printStackTrace();
            }
        }
    }
    System.out.println("查询到用户总数为:"+rows);
}
5.4 重置用户密码
 public static Map<String, String> updateAdPwd(LdapContext ldapContext,String newPassword,String dn) {

    Map<String,String> map = new HashMap<String,String>();
    ModificationItem[] mods = new ModificationItem[2];
    if (ldapContext!=null){
        try {
            String newQuotedPassword = "\"" + newPassword + "\"";
            byte[] newUnicodePassword = newQuotedPassword.getBytes("UTF-16LE");
            // unicodePwd:修改的字段,newUnicodePassword:修改的值
            mods[0] = new ModificationItem(DirContext.REPLACE_ATTRIBUTE,
                    new BasicAttribute("unicodePwd", newUnicodePassword));
            mods[1] = new ModificationItem(DirContext.REPLACE_ATTRIBUTE,
                    new BasicAttribute("pwdLastSet", "0"));  // 首次登录必须修改密码
            ldapContext.modifyAttributes(dn, mods);//
            map.put("result", "S");
            map.put("message","成功");
        }catch (Exception e){
            map.put("result","E");
            map.put("message", "无法重置密码");
        }finally {
            try{
                ldapContext.close();
            }catch (Exception e){
                e.printStackTrace();
            }
        }
    }else {
        map.put("result","E");
        map.put("message", "验证失败");
    }
    return map;
}
5.4 解锁账号
  /**
 * 解锁账号
 * @param ldapContext
 * @param dn 被解锁的帐号(这个dn指的是查询用户信息里的dn的值,不是域账号)
 * */
public Map<String, String> deblocking(LdapContext ldapContext,String dn  ) {

    Map<String,String> map = new HashMap<String,String>();
    ModificationItem[] mods = new ModificationItem[1];
    if (ldapContext!=null){
        try {
            // "0" 表示未锁定,不为0表示锁定
            mods[0] = new ModificationItem(DirContext.REPLACE_ATTRIBUTE,
                    new BasicAttribute("lockoutTime","0"));
            // 解锁域帐号
            ldapContext.modifyAttributes(dn, mods);
            map.put("result", "S");
            map.put("message","成功");
        }catch (Exception e){
            map.put("result","E");
            map.put("message", "解锁失败");
        }finally {
            try{
                ldapContext.close();
            }catch (Exception e){
                e.printStackTrace();
            }

        }

    }else {
        map.put("result","E");
        map.put("message", "验证失败");
    }
    return map;
 }
}
java ad 单点登录_系统集成-SSO微软ADSF单点认证-AD认证
weixin_33014843的博客
03-01 2566
关键词:系统集成,O2OA,SSO,单点认证,ADSF,AD认证,SAMLO2OA平台提供灵活的系统集成方案,让企业信息平台与各类第三方系统进行集成。本篇主要介绍如何在O2OA中使用微软ADSF单点认证的方案与其他系统实现单点登入。一、基本概念1.1、 ADSFActive Directory联合身份验证服务(AD FS,Active Directory Federation Services)...
java ad 认证_Java AD认证
weixin_31458459的博客
02-12 563
认证方式一:package com.what21.ad;import java.util.Properties;import javax.naming.NamingException;import javax.naming.ldap.InitialLdapContext;public class AuthDemo {/*** @param url* @param name* @param doma...
java实现AD认证
02-22
java实现
SpringLDAP连接LDAPS证书报错解决办法(二)
最新发布
大程程IT笔记
10-18 782
设置ldaps的ssl绕过后为何还会偶发性报ssl握手失败
ad认证服务(java版工具类)
也无风雨也无情
04-17 436
ad认证服务(java版工具类)
JAVA 验证AD名登陆
01-27 292
/** * 使用java连接AD * @date 2015-1-26 * @throws 异常说明 * @param host 连接AD服务器的IP * @param post AD服务器的端口 * @param username 用户名 * @param password 密码 * @return Intege...
使用java连接AD,验证账号密码是否正确
xmt1139057136的专栏
12-23 6448
web项目中有时候客户要求我们使用ad进行身份确认,不再另外做一套用户管理系统。其实客户就是只要一套账号可以访问所有的OA,CRM等办公系统。 这就是第三方验证。一般有AD,Ldap,Radius,邮件服务器等。最常用的要数AD了。因为window系统在国内占据了大量的江山。做起来也很方便。 我这篇文章就是写,如何用java去实现AD的身份验证。好了,直接看代码吧:package co
java验证AD用户登录
01-09
10. **测试与部署**: 完成AD验证功能后,需要在测试环境中进行充分的测试,确保在不同环境和条件下都能正常工作。在生产环境中部署时,应确保所有配置信息的安全存储和传递。 以上就是关于Java验证AD用户登录涉及...
Java-AD认证实现
04-24
打包命令为:mvn clean package Jar包运行命令为:java -jar C:\Users\z00459km\Desktop\demo-0.0.1-SNAPSHOT.jar 亲测AD认证通过,内容包含两种认证信息写法。
Java AD登录实现正常本地登录操作
程序猿小菜的博客
06-11 4389
Java 登录 实现前言新建一个测试类,见下图AD的userName和passWord身份验证成功之后返回身份验证失败之后返回验证成功后将之代入项目登录的位置,根据自己的登录接口和登陆逻辑来修改,我这里是SysLoginService 前言 因为最近公司需要项目进行账号的登录,查找了许多资料,都是零零散散的,所以在这里整理一下步骤,希望帮到大家 新建一个测试类,见下图 package com...
java ad 认证_Java实现AD登录认证
weixin_33324399的博客
02-12 613
package com.app;import java.util.Hashtable;import javax.naming.AuthenticationException;import javax.naming.Context;import javax.naming.directory.DirContext;import javax.naming.directory.InitialDirCont...
java 连接ad实例
03-09
SynchAccountToAD2012实例,需要的可以下载,封装了
java连接AD
weixin_33913332的博客
06-07 110
publicstaticbooleanadConnect(Stringusername,Stringpassword){ HashtableHashEnv=newHashtable(); StringLDAP_URL="ldap://"+AD_SERVER+...
Java实现AD登录认证
热门推荐
Pnoker
08-04 3万+
web项目中有时候客户要求我们使用ad进行身份确认,不再另外做一套用户管理系统。其实客户就是只要一套账号可以访问所有的OA,CRM等办公系统。 这就是第三方验证。一般有AD,Ldap,Radius,邮件服务器等。最常用的要数AD了。因为window系统在国内占据了大量的江山。做起来也很方便。 我这篇文章就是写,如何用java去实现AD的身份验证。好了,直接看代码吧:
java 实现对ad的操作
qq_46042132的博客
10-31 1958
Java操作ad
java ad 认证_javaAD的登录与认证
weixin_42301080的博客
02-12 2052
1 、AD最简单的理解方式是:如将用户账户密码放在中进行集中的权限管理和认证,共享系统中的资源信息。中石化的项目目前都要求使用AD账户登陆所有系统,因此就会碰到java进行AD认证。2、 目前遇到AD认证有两种解决方案:需要下载相关jar包,代码直接贴上来:a、若抛出异常,则可能是账户密码错误,服务器内部错误等状况。UniAddress dc = UniAddress.getByName...
AD 登录验证
Practitioner
06-22 2214
注意:在测试的时候需要将 x.x.x.x,xxx,abc,123abc.替换成相应的服务器 IP ,服务器端口,用户名,用户密码。系统在登录的时候,需要根据用户名和密码验证连接服务器进行验证此用户是否为用户。某个用户是:abc@adservice.com 密码:abc123.spring-ldap-core 版本:2.0.2.RELEASE。AD为:DC=adservice,DC=com。单元测试:ADAuthJavaTest.java服务器地址:x.x.x.x。
java ad 认证_跨受信任Java AD身份验证
weixin_28677005的博客
02-16 522
我正在尝试在Java中实现Active Directory身份验证,该身份验证将从Linux机器运行 . 我们的AD设置将包含多个彼此共享信任关系的服务器,因此对于我们的测试环境,我们有两个控制器:test1.ad1.foo.com 谁信任 test2.ad2.bar.com .使用下面的代码,我可以从 test1 成功验证用户,但不能在 test2 上验证:public class ADDe...
java ad开发文档
12-02
Java Ad开发文档主要涵盖了与Active Directory(AD相关的Java开发知识和技术。该文档首先介绍了AD的基本概念,包括控制器、用户、组、权限等,以便开发人员对AD有一个清晰的认识。接着,文档详细介绍了如何使用Java编程语言来与AD进行交互,涵盖了以下几个方面的内容: 1. 连接与认证:介绍了如何通过Java代码来连接到AD,并进行用户身份认证的方法和技巧。 2. 用户管理:包括了如何使用Java来实现对AD用户的增删改查操作,比如创建用户、重置密码、禁用用户等。 3. 组管理:介绍了如何通过Java代码来管理AD中的用户组,包括创建组、添加用户到组、从组中移除用户等操作。 4. 权限管理:涵盖了如何通过Java代码来管理AD中的权限,包括授予用户特定权限、管理用户的访问控制列表(ACL)等内容。 另外,文档还包括了一些实用的代码示例和最佳实践,帮助开发人员快速上手并正确地使用JavaAD进行开发。此外,文档还介绍了一些常见的问题与解决方案,帮助开发人员在开发过程中遇到问题时能够快速定位并解决。总的来说,Java AD开发文档是一份全面而实用的指南,对于希望使用Java来进行AD开发开发人员来说,是一份非常有价值的文档。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值
>