java-Active Directory-使用基本dn进行身份验证
[英]java - Active Directory - authentication using base dn
问题描述
我已经编写了用于通过Active Directory服务器验证用户身份的测试代码。 我可以使用下面的代码使用绑定dn进行身份验证。
public static void main(String[] args) {
LdapContext ldapContext = null;
Hashtable<String, String> env = new Hashtable<String, String>();
env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.ldap.LdapCtxFactory");
env.put(Context.PROVIDER_URL, "ldaps://10.121.85.24:636");
env.put(Context.SECURITY_PROTOCOL, "ssl");
env.put(Context.SECURITY_PRINCIPAL, "EXTLDAPTEST\batty"); // line 1
env.put(Context.SECURITY_CREDENTIALS, "mypassword");
env.put("com.sun.jndi.ldap.read.timeout", Integer.toString(8000));
env.put("java.naming.ldap.factory.socket", "com.auth.server.TrustAllSSLSocketFactory" );
try {
ldapContext = new InitialLdapContext(env, null);
} catch (Exception e) {
e.printStackTrace();
}
if (ldapContext != null)
{
System.out.println("Authenticatied");
}
}
但是当我将第1行替换为
env.put(Context.SECURITY_PRINCIPAL, "CN=batty,OU=Unsorted,OU=EDN Users,OU=User accounts,DC=extLDAPTest,DC=local"); // line 1
它引发异常
javax.naming.AuthenticationException:[LDAP:错误代码49-80090308:LdapErr:DSID-0C0903A9,注释:AcceptSecurityContext错误,数据52e,v1db1
AD的树结构为:
尝试使用完整dn进行身份验证时,我做错什么了吗?
编辑1 :当我使用服务帐户获取完整的dn使用
NamingEnumeration<?> aa = context.list("OU=Unsorted,OU=EDN Users,OU=User accounts,DC=extLDAPTest,DC=local");
我得到以下结果:
CN = batty,OU =未排序,OU = EDN用户,OU =用户帐户,DC = extLDAPTest,DC =本地
这与我通过的身份验证相同。
编辑2 :我使用完整dn的原因是,我将获得服务帐户和子树的dn。 现在,同一用户可以存在于不同的子树中。 因此,我想从特定的子树进行身份验证。
2 个解决方案
解决方案1
0 2015-10-06 12:14:29
与LDAP相关的错误代码49是由无效凭据引起的。
但是您可以使用ADSI Edit或AD Explorer之类的应用程序获取对象的DN。 您可以只使用它们来查看有关对象的“ distinguishedName”属性,也可以使用特定于每个应用程序的其他方法。
或使用LDAPExplorerTool2。并找出您想要获取dn的CN。 您可以在secDN属性中获取其值:
解决方案2
0 2015-10-06 18:24:34
我想知道为什么您需要使用完整的DN来指定用户名? 您可以使用DOMAIN \\ USER或USER @ DOMAIN格式对AD进行身份验证。
我个人从未使用过任何其他格式,但是RFC 2829指定了以下基于DN的身份验证标识格式: dn:DN 。 在您的情况下,SECURITY.PRINCIPAL看起来为dn:CN = batty,OU =未排序,OU = EDN用户,OU =用户帐户,DC = extLDAPTest,DC = local 。 再一次,我从未使用过DN格式,而是尝试一下,看看所提出的解决方案是否有效。
希望这可以帮助。
Active Directory:使用纯LDAP的NTLM名称的用户UPN或DN?
[英]Active Directory: User UPN or DN for NTLM name, using pure LDAP?
是否可以使用 java 更改 ldap 中用户的基本 dn?
[英]Is it possible to change the base dn of a user in ldap using java?
使用Active Directory用户主体名称进行Java Kerberos身份验证
[英]Java Kerberos authentication using Active Directory User Principal Name
Java JNDI查找到Microsoft Active Directory(使用Tomcat 6),身份验证失败
[英]Java JNDI lookup to Microsoft Active Directory (using Tomcat 6), authentication failing
Active Directory LDAP 使用 Spring Boot 和 Java 进行身份验证
[英]Active Directory LDAP Authentication using Spring Boot and Java
针对Active Directory的Java身份验证,身份验证不匹配?
[英]Java Authentication against Active Directory, authentication mismatch?
如何从Java查询LDAP以从Active Directory中的“ netbiosDomain \\ samAccountName”中获取对象的DN
[英]How to query LDAP from Java to get an object's DN from the “netbiosDomain\samAccountName” from Active Directory
如何通过Java代码在没有完整的CN / DN的情况下与Active Directory连接
[英]How to connect with Active Directory without a full CN/DN from Java code
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
使用 java 的多个活动目录服务器身份验证
使用Java使用Active Directory进行NTLM身份验证
Active Directory:使用纯LDAP的NTLM名称的用户UPN或DN?
是否可以使用 java 更改 ldap 中用户的基本 dn?
使用Active Directory用户主体名称进行Java Kerberos身份验证
Java JNDI查找到Microsoft Active Directory(使用Tomcat 6),身份验证失败
Active Directory LDAP 使用 Spring Boot 和 Java 进行身份验证
针对Active Directory的Java身份验证,身份验证不匹配?
如何从Java查询LDAP以从Active Directory中的“ netbiosDomain \\ samAccountName”中获取对象的DN
如何通过Java代码在没有完整的CN / DN的情况下与Active Directory连接
相关标签