05LDAP目录服务

最新推荐文章于 2019-06-20 11:25:36 发布
最新推荐文章于 2019-06-20 11:25:36 发布
阅读量1k 收藏 3
点赞数
分类专栏: security 文章标签: spring security
LDAP(Lightweight Directory Access Protocol):类似于组织机构图和地址薄.LDAP越来越多的用来作为集中管理组织用户信息的方式,可以将成千的用户分成逻辑上的组并允许在不同的分布式系统间共享统一的用户信息.
为了安全目的,LDAP 经常被用来帮助集中的用户名和密码认证——用户的凭证存储在LDAP目录中,而对于用户来说,认证请求基于目录进行。这对于管理员来说可以便于管理,因为用户的凭证——登录、密码和其它信息——都存储在 LDAP 中的一个地址。另外,组织机构信息,如组和团队的分配、地理位置以及组织的等级结构,也定义在用户在目录中的位置上。


常用的LDAP术语:
entry是LDAP中一个基本的存储单元;可以被看作是一个DN和一组属性的集合.
dn(distinguished name):是LDAP记录项的名字.在LDAP目录中的所有记录项都有一个唯一的dn。每一个LDAP记录项的DN是由两个部分组成的:相对DN(RDN)和记录在LDAP目录中的位置
objectClass根据不同的objectClass,我们可以判断这个entry是否属于某一个类型.比如我们需要找出LDAP中的全部用户:(objectclass=person)再比如我们需要查询全部的LDAP组:(objectclass=groupOfUniqueNames)


dc(domain component):域组件,一般作为LDAP等级结构中的最高级组织.
c(country):一些LDAP等级结构中将国家作为很高的等级.
o(organization name)一个LDAP资源分类上的业务组织
ou(organizational unit)
cn(common name)通用名.
uid(user id)
userPassword


一.运行一个嵌入式的 LDAP服务

1.配置 LDAP服务器引用

<ldap-server id="ldapServer" ldif="classpath:/ldif/calendar.ldif" root="dc=jbcpcalendar,dc=com"/>
2.启用LDAP AuthenticationProvider 
<authentication-manager>
	<ldap-authentication-provider server-ref="ldapServer" user-search-filter="(uid={0})" group-search-base="ou=Groups"/>
</authentication-manager>
3.启动jetty测试吧.


理解Spring LDAP认证如何工作,在LDAP 认证过程中有三个基本的步骤:
a.将用户提供的凭证与LDAP 目录进行认证; 
b.基于LDAP 上的信息,确定用户拥有的GrantedAuthority; 
c.为了应用以后用到,从LDAP 条目中预先加载用户信息到自定义的 UserDetails对象中。


第一步,认证用户凭证:自定义身份验证提供程序注入到AuthenticationManager.o.s.s.ldap.authentication.LdapAuthenticationProvider拿到用户提供的凭据并与LDAP目录进行验证.如下图所示:


o.s.s.ldap.authentication.LdapAuthenticator定义了一个代理从而允许提供者以自定义的方式认证请求.这里使用o.s.s.ldap.authentication.BindAuthenticator,它会尝试使用用户的凭证绑定(登录)LDAP服务器,就像用户本身尝试建立连接.
第二步,确定用户的角色:经过第一步的服务器成功认证之后,接下来就会进行权限信息的确定.授权是通过安全实体的一系列角色定义的,,LDAP认证过的用户角色确定,如下图所示


LdapAuthenticationProvider委托给LdapAuthoritiesPopulator.DefaultLdapAuthoritiesPopulator在 LDAP目录角色相关的条目中寻找当前用户,以确定用户的角色.
通过group-search-base属性定义查找用户角色分配的DN.此例设置了group-search-base="ou=Groups",当一个用户的DN在 group-search-base DN下面的条目中时包含用户 DN的条目中的一个属性将会作为这些用户的角色.
DefaultLdapAuthoritiesPopulator使用了几个<ldap-authentication-provider>声明的属性来管理为用户查找角色。这些属性大致按以下的顺序使用:
group-search-base:它定义了基础的DN,LDAP集成应该基于此往下为用户查找一个或多个的匹配项。默认值会在LDAP根中进行查找,这可能会代价较高;
group-search-filter:它定义了 LDAP 查找的过滤器,用来匹配用户的 DN 与group-search-base 之下的条目属性。这个过滤器通过两个参数进行参数化设置——第一个({0})作为用户的 DN,第二个作为({1})作为用户的名字。默认值为(uniqueMember={0})。 
group-role-attribute:它定义了匹配条目中用来组装用户 GrantedAuthority 的属性,默认值为cn; 
role-prefix:要拼到在 group-role-attribute 中发现值的前缀以产生 Spring Security 的GrantedAuthority。默认值为ROLE_。

chapter5剩下的内容先留着...






xiejx618
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
吉大正元-LDAP目录服务技术教程
07-07
目录 第一章目录服务技术的由来和应用.................................... 7 1 1 网络发展对目录服务的需求...................................... 7 1 2 目录服务技术的应用.................................................. 8 1 3 总结..........................................................................10 1 4 习题..........................................................................10 第二章目录服务技术简介..................................................11 2 1 两个主要的目录服务标准.........................................12 2 2 几个主要的概念........................................................12 2 2 1 目录树..............................................................12 2 2 2 项......................................................................13 2 2 3 对象类..............................................................13 2 2 4 属性..................................................................13 2 2 5 甄别名称...........................................................14 2 2 6 模式..................................................................14 2 3 目录服务操作...........................................................16 2 3 1 绑定操作...........................................................16 2 3 2 解绑定操作.......................................................16 2 3 3 添加操作...........................................................17 2 3 4 删除操作...........................................................17 吉大正元信息技术股份有限公司 JIT-CA/目录服务培训教程4 2 3 5 修改操作...........................................................17 2 3 6 查找操作...........................................................18 2 3 7 比较操作...........................................................19 2 3 8 放弃操作...........................................................19 2 3 9 修改甄别名称操作.............................................19 2 4 特性..........................................................................20 2 5 总结..........................................................................21 2 6 习题..........................................................................21 第三章X.500 目录服务标准...............................................22 3 1 X.500 目录服务标准简介...........................................22 3 2 X.500 标准的内容......................................................23 3 3 X.500 标准的分布特性..............................................24 3 4 X.500 标准的特点......................................................24 3 5 X.500 标准的不足导致LDAP 的诞生........................25 3 6 总结..........................................................................26 3 7 习题..........................................................................26 第四章LDAP 标准................................................................28 4 1 LDAP 标准简介.........................................................29 4 2 LDAP 目录服务的应用..............................................29 4 3 LDAP 的基本结构和功能..........................................30 吉大正元信息技术股份有限公司 JIT-CA/目录服务培训教程5 4 4 LDAP 的体系结构.....................................................31 4 5 LDAP 的会话机制.....................................................31 4 6 LDAP 的安全机制.....................................................32 4 7 LDAP 的复制功能.....................................................32 4 8 LDAP 的分布和提名功能..........................................33 4 9 厂商的支持...............................................................33 4 10 LDAP 标准的内容....................................................34 4 11 为什么LDAP 更好..............................................36 4 12 LDAPV3 新增的主要特性........................................37 4 13 常用的LDAP 属性说明..........................................39 4 14 总结.........................................................................39 4 15 习题.........................................................................40 第五章目录服务技术在PKI 中的应用..................................42 5 1 电子证书和PKI 系统................................................42 5 2 LDAP 技术在PKI 中的应用......................................43 5 3 总结..........................................................................44 5 4 习题..........................................................................44 第六章 NETSCAPE 目录服务器..........................................46 6 1 NETSCAPE目录服务器性能.........................................46 6 2 NETSCAPE目录服务器的主要特点.............................47
Spring LDAP操作--目录测试环境搭建
IT成长
03-18 740
Spring LDAP 是一个用于操作 LDAP 的 Java 框架。它是基于 Spring 的 JdbcTemplate 模式。这个框架能够帮助开发人员简化 looking up,closing contexts,looping through NamingEnumerations,encoding/decoding values与 filters 等操作。(理论上市面所有目录产品都适用,什么?
Spring Security-Ldap认证(LdapAuthenticationProvider)
kaikai8552的专栏
03-08 5101
认证:LdapAuthenticationProvider是AuthenticationProvider的ldap认证方式的实现。通过LdapAuthenticator来认证,它有两个实现,分别对应于LDAP的两种认证方式:bind(BindAuthenticator)和password compare(PasswordComparisonAuthenticator)。Spring Secur
Spring Security进阶——集成LDAP认证
wei_ya_wen的专栏
01-22 7736
如果对于这系列文章有疑问,可以先阅读以下链接内容(含Demo及源码下载):  Spring Security入门篇——搭建简易权限框架:http://www.javali.org/archive/getting-start-spring-security.html  Spring Security入门篇——集成DB认证:http://www.javali.org/archive/getti
Spring Security初体验--使用LDAP认证
valetine的专栏
03-04 2275
1配置认证方式为LDAPclass="org.springframework.security.ldap.authentication.LdapAuthenticationProvider">class="org.springframework.security.ldap.authentication.BindAuthenticator">CN={0},CN=Users
05部分 Kerberos及LDAP协议
11-11
LDAP 成为了当今最流行的目录访问协议之一,许多知名的目录服务产品如 **Lotus Domino**、**SunOne Directory Server**、**Novell Directory Services (NDS)** 以及 **Microsoft Active Directory Services** 都支持...
java使用ldap修改ad域用户密码
02-02
LDAP 广泛应用于企业目录服务中,如 Active Directory、OpenLDAP 等。 Java 使用 LDAP 修改 AD 域用户密码 在 Java 中,我们可以使用 LDAP 客户端库来连接到 Active Directory 域控制器,并对用户密码进行修改。...
java使用ldap修改ad域中的用户密码
最新发布
09-27
LDAP(Lightweight Directory Access Protocol)是一种轻量级目录访问协议,用于访问和管理目录服务。然而,LDAP 协议无法获取 Windows Active Directory 用户密码,因为 Active Directory 用户密码是加密存储的,...
Windows 2000活动目录开发人员参考库 第1卷:程序员指南05
04-03
2. **目录服务API**:介绍ADSILightweightDirectoryAccessProtocol(ADSI)和DirectoryServicesApplicationProgrammingInterface(DSAPI),这些都是开发人员用来访问和修改活动目录数据的主要工具。 3. **对象和...
php中文参考手册2006-11-05
06-13
Adabas D 数据库链接函数库 apache服务器专用函数库 数组处理函数库 拼写检查函数库 BC 高精确度函数库 ...LDAP 目录协议函数库 电子邮件函数库 数学运算函数库 mcrypt 编码函数库 mhash 哈稀函数库
spring-security+spring-session配置
saizzzzzz的专栏
08-22 9571
spring-session的配置1.dependency 2.applicationContext.xml 3.web.xml 4.分布式 5.遇到的一些问题1. dependencyspring-session提供了一个集成的jar包,只需要导入这一个就可以了.<!-- spring session --> <dependency> <groupId>org.spri
目录服务软件 AD和LDAP 的理解
热门推荐
GoodShot的专栏
07-03 2万+
选购模块 - 身份验证   身份验证是一个提供给已导入帐号目录服务客户的搭配功能。目前身份验证有两大系统:分别是微软的AD认证与自由软体的LDAP服务,不论是哪一个阵营的程式,NewSoft OA的“身份验证”模组都支援... 身份验证是一个提供给已导入帐号目录服务客户的搭配功能。目前身份验证有两大系统,分别是微软的
目录服务LDAP的基本模型
lijunjiejava的专栏
07-04 3463
近几年,随着LDAP(Light Directory Access Protocol,轻量级目录访问协议)技术的兴起和应用领域的不断扩展,目录服务技术成为许多新型技术实现信息存储、管理和查询的首选方案,特别是在网络资源查找、用户访问控制与认证信息的查询、新型网络服务、网络安全、商务网的通用数据库服务和安全服务等方面,都需要应用目录服务技术来实现一个通用、完善、应用简单和可以扩展的系统   目录服务
LDAP简介:什么是目录
08-05 1463
LDAP简介:什么是目录本文出自:http://www.china-pub.com 作者: 应雷 (2001-08-12 09:05:01)<!--google_ad_client = "pub-0052768304011480";google_alternate_color = "000000";google_ad_width = 728;google_ad_height =
OpenLDAP在window下的搭建过程
hrawi的博客
06-20 2065
前言: common name 通用名 对象的属性为CN,例如一个用户的名字为:张三,那么“张三”就是一个CN。 ou : OrganizationUnit 组织单位 o和ou都是ldap目录结构的一个属性,建立目录的时候可选新建o,ou 等。在配置我司交换设备ldap的时候具体是配置ou,o还是cn等,要具体看ldap服务器的相应目录是什么属性。 o:...
利用Spring进行LDAP验证登录遇到的问题及其解决方式
程序员进阶之路
10-25 2万+
有些系统需要使用公司内部的域帐号登录,那么就需要连接LDAP进行验证,Spring Secutiry提供了使用LDAP验证的方式(就相比登录验证来说,Spring提供的LDAP验证,比自己实现LDAP验证真是麻烦了不少),能完美契合Spring Secutiry的可参考这篇文章:https://www.ibm.com/developerworks/cn/java/j-lo-springsecurit
LDAP服务原理详解(原创)
czmmiao的专栏
06-15 1778
Directory Services(目录服务) 我们知道,当局域网的规模变的越来越大时,为了方便主机管理,我们使用DHCP来实现IP地址、以太网地址、主机名和拓扑结构等的集中管理和统一分配。同样,如果一个局域网内有许多的其它资源时,如打印机、共享文件夹等等,为了方便的定位及查找它们,一种集中定位管理的方式或许是较好的选择,DNS和NIS都是用来实现类似管理的方法。 对...
LDAP目录树的结构(转)
zmxj的专栏
04-30 1万+
LDAP目录以树状的层次结构来存储数据。如果你对自顶向下的DNS树或UNIX文件的目录树比较熟悉,也就很容易掌握LDAP目录树这个概念了。就象DNS的主机名那样,LDAP目录记录的标识名(Distinguished Name,简称DN)是用来读取单个记录,以及回溯到树的顶部。后面会做详细地介绍。为什么要用层次结构来组织数据呢?原因是多方面的。下面是可能遇到的一些情况:l 如果你想把所有的美国客户的
深入解析ApacheDS:LDAP目录服务器与Java对象存储
标签涉及apacheds、ldap目录服务器。内容涵盖了LDAP概念、JXplorer的使用、Java对象的序列化和远程方法调用在保存数据中的应用。" ApacheDS是一个开源的、基于Java的目录服务器,它实现了多种Internet协议,特别...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值