LDAP-Benutzer-Passwort-Authentifizierung mithilfe von JNDI

public static void main(String[] args)
{
    String INITCTX = "com.sun.jndi.ldap.LdapCtxFactory";
    String MY_HOST = "ldap://Localhost:1389";
    String MGR_DN = "cn=John,ou=Users,o=IT,dc=QuizPortal";
    String MGR_PW = "password";           

    //Identify service provider to use
    Hashtable env = new Hashtable();
    env.put(Context.INITIAL_CONTEXT_FACTORY, INITCTX);
    env.put(Context.PROVIDER_URL, MY_HOST);
    env.put(Context.SECURITY_AUTHENTICATION, "simple");
    env.put(Context.SECURITY_PRINCIPAL, MGR_DN);
    env.put(Context.SECURITY_CREDENTIALS, MGR_PW);

    try
    {
        //Create the initial directory context
        InitialDirContext initialContext = new InitialDirContext(env);

        System.out.println("Context Sucessfully Initialized");
    }
    catch(Exception e)
    {
        System.err.println(e);
    }
}

Ich würde gerne Fragen, wenn ich die MGR_DN = "cn=John,ou=Users,o=IT,dc=QuizPortal" zu MGR_DN = "uid=103,ou=Users,o=IT,dc=QuizPortal". Im Grunde Wechsel von cn uid, würde ich auf einen Fehler stoßen 

javax.naming.AuthenticationException: [LDAP: error code 49 - Invalid Credentials]

Bin ich authentifiziert, wenn angegeben ist, wie cn=John aber nicht uid=103. Bin ich nicht angeben dürfen, durch die uid?

InformationsquelleAutor Nivek | 2010-08-11
  1. 4

    Müssen Sie die DN oder " distinguished name. Das ist der name, den die Benutzer gebunden ist, als in dem Verzeichnis. Sie können nicht nur wählen Sie eine beliebige Kette von Parametern. Wenn Ihre Benutzer gebunden sind, die über die " cn "- Attribut dann nur die " cn " - Attribut ist Teil des DN.

    • Oh... vielen DANK! Habe es... Frage mich, warum es nicht funktioniert... DANKE
    • Es kommt auf das LDAP-Verzeichnis. Einige erlauben Alternative Benennung von Attributen, in dem Fall uid=103 arbeiten könnte. In der Erwägung, dass andere nicht. So ist es nicht, einen zuverlässigen Ansatz.
    InformationsquelleAutor user207421
  2. 8

    Wenn Sie nicht wissen, die genaue DN im Voraus, sollten Sie eine Suche im LDAP-Verzeichnis zuerst. Diese kann getan werden, mehr oder weniger wie folgt (stellen Sie sicher, fangen die entsprechenden Ausnahmen):

    Properties env = new Properties();
env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.ldap.LdapCtxFactory");
env.put(Context.PROVIDER_URL, ldapServerUrl);
env.put(Context.SECURITY_AUTHENTICATION, "none");

SearchControls searchCtrls = new SearchControls();
searchCtrls.setReturningAttributes(new String[] {});
searchCtrls.setSearchScope(SearchControls.SUBTREE_SCOPE);

String filter = "(&(cn=" + identifier + "))";

DirContext ctx = null;
ctx = new InitialDirContext(env);
NamingEnumeration<SearchResult> answer = ctx.search(
   ldapBaseDN, filter, searchCtrls);

String fullDN = null;
if (answer.hasMore()) {
    fullDN = answer.next().getNameInNamespace();

    ctx.close();
    ctx = null;

    env.put(Context.SECURITY_AUTHENTICATION, "simple");
    env.put(Context.SECURITY_PRINCIPAL, fullDN);
    env.put(Context.SECURITY_CREDENTIALS, password);

    ctx = new InitialDirContext(env);
    return true;
}
//Exception otherwise ...

    Hier, die Suche filter ist "(&(cn=" + identifier + "))" (so zum Beispiel (&(cn=John))), aber man könnte die uid statt. Die Eindeutigkeit der Ergebnisse hängt von der Konfiguration des LDAP-Servers. Der Basis-DN hängt auch von der Art der Einrichtung (es könnte sein ou=Users,o=IT,dc=QuizPortal in deinem Beispiel).

    • Oh.. Danke für die zusätzliche info..
    • Das wird nur helfen, erhalten Sie die volle DN, wenn Sie nur die uid oder cn, zum Beispiel. In der Regel, einige LDAP-Server konfiguriert ist, um eindeutige uids über einen Teilbaum. Tun, die Suche hilft beim Auffinden der richtigen Nutzer. Zum Beispiel, wenn Sie organisiert haben, Ihre LDAP-Baum haben mehrere sub-Bäume (ou=Marketing und ou=Finances zum Beispiel), mit uid=user1,ou=Marketing,o=MyCompany und uid=user2,ou=Finances,o=MyCompany und konfiguriert es mit eindeutige uids über o=MyCompany finden Sie den vollständigen DN des Benutzers mit uid=user1 (die Sie sich authentifizieren müssen) mit, dass die Art der Suche.
    • Hey danke für die Freigabe. Ich habe jetzt ein besseres Verständnis von LDAP 🙂 Btw, dein code funktioniert wie ein Charme. Danke!
    • Hallo Bruno, ich möchte das gleiche zu tun. um den dn von uid und zu authentifizieren, die es mit dem Passwort. ich habe versucht Sie code, aber es wirft die Fehlermeldung "um diesen Vorgang durchzuführen, eine erfolgreiche Bindung muss abgeschlossen sein, auf die Verbindung.", wie um diese Situation zu bewältigen??
    • VORSICHT, bewusst sein, dass diese Umsetzung ermöglichen könnten, die Benutzer zu authentifizieren, die mit einem leeren Kennwort. Siehe stackoverflow.com/questions/12359831/... . Je nach LDAP-server-Implementierung, werden Sie auch brauchen, um zu überprüfen, dass die Passwort-variable ist nicht leer.
    • Warum haben Sie diese ctx = new InitialDirContext(env); bevor Sie return true;
    • Dies ist aus der Spitze von meinem Kopf, und 8 Jahre später, so müssen Sie überprüfen, aber soweit ich mich erinnere, der erste new InitialDirContext(env) macht die Suche und das zweite (kurz vor return true) funktioniert die Authentifizierung. Wenn die Authentifizierung fehlschlägt, es sollte eine exception werfen (und daher nicht zu erreichen wahr).

    InformationsquelleAutor Bruno
  3. 2

    Sieht es wie ein server-Konfigurations-Problem. Hier ist ein ähnliches problem inklusive Lösung. Im Grunde müssen Sie angeben, ob uid oder cn für die Authentifizierung in ldap-authentication.properties.

    • Genau das, was ich suchte, vielen Dank
    InformationsquelleAutor Andreas_D
Schreibe einen Kommentar