So Deaktivieren Sie einen LDAP-Benutzer?

Benutze ich eine Bibliothek zum authentifizieren der LDAP-Benutzer, dessen code ist wie folgt:

public void authUser(String username, String pwd)
    throws Exception
  {
    try
    {
      Properties env = getEnvironmentForContext();

      env.put("java.naming.security.principal", "uid=" + 
      username + ",ou=users, dc=company"));
      env.put("java.naming.security.credentials", pwd);
      context = getContext(env);
      System.out.println("Authentication Succeeded");
    }
    catch (Exception e)
    {
      System.out.println("Authentication Failed");
      throw e;
    }
  }

Bitte beachten Sie, ich kann nicht ändern die oben genannten Authentication Code. Es kommt aus einer externen Bibliothek.

Aber, ich will zu deaktivieren einige Benutzer (nicht löschen), so dass die Authentifizierung Fehlschlägt.
Ich bin mit LDAP (Active Directory). Nicht wissen, was LDAP-Software ist es jedoch, ich kann eine Verbindung über 'LDAP-Browser-Client".

Den Benutzer vorhanden sind, unter: dc=company, ou=users, uid=username

, Mit welchem Attribut kann ich das hinzufügen/ändern von LDAP-Nutzer zu de-aktivieren eines Benutzers.

Könnte ich den user einer anderen Gruppe wie: dc=company, ou=deactivatedusers, uid=username? Aber dies ist nicht die bevorzugte option, zuzüglich nicht sicher bin, beste Weg das zu tun.

EDIT: Die LDAP verwendet wird, ist: Netscape/Sun/iPlanet

  • Es würde wirklich helfen, wenn Sie mir sagen, welche Art von directory-client mit dem Sie sich verbinden. Das Attribut deaktiviert\ermöglicht es einem Benutzer sehr unterschiedlich sein können von Anbieter zu Anbieter. Wenn Sie Softerra kostenlos LDAP-Browser hier gefunden zu verbinden, in dem "Profil" - Registerkarte, tut es ein Verzeichnis "Typ"?
  • Ja, es sagt: Netscape/Sun/iPlanet - das ist der LDAP verwendet wird.
InformationsquelleAutor Jasper | 2013-04-02
  1. 2

    Beantworten Ihre Frage per die Oracle iPlanet (Sun) Dokumentation :

    Einstellung das Attribut nsAccountLock zu true wird deaktivieren Sie einen Benutzer-account, und verhindern, dass Sie aus der Bindung an das Verzeichnis.

    Jedoch in Bezug auf den code, den Sie bereits haben, nur ich sehe keinen Weg, dies zu erreichen... gibt es etwas, das verhindert, dass Sie vom schreiben Ihrer eigenen Implementierung für iPlanet mit der System.DirectoryServices.Protocols - namespace in .Net?

    Hier ist, wie ich bind und autorisieren Sie Benutzer gegen einen iPlanet-server :

    //Build servername from variables
var BuildServerName = new StringBuilder();
BuildServerName.Append(ServerName);
BuildServerName.Append(":" + Convert.ToString(Port));

var ldapConnection = new LdapConnection(BuildServerName.ToString());
//Authenticate the Admin username and password, making sure it's a valid login

try
{
    //Pass in the network (administrative) creds, and the domain.
    var networkCredential = new NetworkCredential(Username, Password, config.LdapAuth.LdapDomain);
    ldapConnection.SessionOptions.SecureSocketLayer = true;
    ldapConnection.SessionOptions.VerifyServerCertificate += delegate { return true; };
    ldapConnection.AuthType = AuthType.Anonymous;;
    ldapConnection.Bind(networkCredential);

    //Lets find this person so we can use the correct DN syntax when we authorize them.
    SearchRequest FindThem = new SearchRequest();
    FindThem.Filter = config.LdapAuth.LdapFilter.Replace("{{Patron}}", Patron);
    FindThem.DistinguishedName = config.LdapAuth.LdapDomain;
    FindThem.Scope = System.DirectoryServices.Protocols.SearchScope.Subtree;

    //We'll execute a search using the bound user
    SearchResponse searchresults = (SearchResponse) ldapConnection.SendRequest(FindThem);

    //Should only get on result back, if not throw an error
    if(searchresults.Entries.Count == 1)
    {
         SearchResultEntryCollection entries = searchresults.Entries;
         SearchResultEntry thispatron = entries[0];
         PatronDN = thispatron.DistinguishedName;
    }
 }

    Wenn Sie sich bewegen wollte, deaktivierte Benutzer zu einer bestimmten Gruppe, von dieser Stelle könnten Sie schreiben, die Logik zu überprüfen, die DistinguishedName des Benutzers, und werfen eine Ausnahme behandelt, wenn Ihre DistinguishedName enthält den Namen der Gruppe. Auch, wenn die nsAccountLock - Attribut zur Verfügung, um Ihr Konto verbindlich als lesbares Attribut, können Sie einfach überprüfen Sie den Wert dieses Attributs für true ab, und behandelt die user dementsprechend.

    InformationsquelleAutor X3074861X
  2. 1

    Hier ist der java-code für das deaktivieren und aktivieren der Benutzer in Active Directory mithilfe von JNDI.
    Stellen Sie sicher, dass eine Verbindung mit Ihrer ANZEIGE vor dem Aufruf folgenden code.

        public void disableEnableUser() throws Exception {
ModificationItem[] mods = new ModificationItem[1];
            //To enable user
            //int UF_ACCOUNT_ENABLE = 0x0001;
            //mods[0] = new ModificationItem(DirContext.REPLACE_ATTRIBUTE, new BasicAttribute("userAccountControl",Integer.toString(UF_ACCOUNT_ENABLE)));

        //To disable user
        int UF_ACCOUNT_DISABLE = 0x0002;
        mods[0] = new ModificationItem(DirContext.REPLACE_ATTRIBUTE, new BasicAttribute("userAccountControl",Integer.toString(UF_ACCOUNT_DISABLE)));

        ctx.modifyAttributes("CN=John ABC,OU=Users,OU=anyone,DC=yourcompanyname,DC=com", mods);
    }

    Distinguished name = "CN=John ABC,OU=Users,OU=jemand,DC=yourcompanyname,DC=com"
    Dieser name ist, hängt von Ihrer Struktur von Active Directory arbeiten, können Sie von Ihrem Support-team.

    InformationsquelleAutor rogue lad
  3. 0

    Wenn die directory-software unterstützt eine Passwort-policy-Funktion, die es wohl ermöglicht, die Attribute zu sperren/deaktivieren Sie den Benutzer. Wenn nicht, können Sie einfach aufheben das Kennwort-Attribut (z.B., userpassword). Der LDAP-server zurückgeben sollte, die "unangemessene Authentifizierung" Fehler an den client, wenn der authentifizierte Bindung ausgeführt.

    InformationsquelleAutor Bora
  4. 0

    Könnte man einfach das Passwort des Benutzers ändern. Wenn es OpenLDAP mit der Passwort-policy-overlay oder einem anderen LDAP-server, der Ihnen erlaubt sperren, sperren Sie die Benutzer, wie gut. Sie wirklich haben, um es herauszufinden.

    • Dies ist auch eine alternative.
    • Sorry, aber das ist super blöd. Es gibt viele Gelegenheiten wo Sie brauchen werden, um die Bedrohung deaktiviert Konto ist komplett anders als aktiviert. Es geht nicht nur um die Tatsache, dass der Benutzer sich nicht anmelden können...
    • In dem Fall würden Sie diese löschen, ist ausdrücklich ausgeschlossen in der Frage.
    InformationsquelleAutor user207421
Schreibe einen Kommentar