我有一个简单的任务,需要使用Java对Active Directory进行身份验证,仅验证凭据,没有其他操作。假设我的域是“fun.xyz.tld”,OU路径未知,用户名/密码为testu/testp。
我知道有一些Java库可以简化这个任务,但我在实现它们时没有成功。大多数我找到的示例都涉及LDAP,而不是特定于Active Directory。发出LDAP请求意味着在其中发送OU路径,而我没有。此外,发出LDAP请求的应用程序应该已经绑定到Active Directory才能访问它... 这是不安全的,因为凭据必须存储在可发现的地方。如果可能的话,我想进行测试绑定和测试凭据——这意味着该帐户有效。
最后,如果可能的话,有没有办法使这样的身份验证机制加密?我知道AD使用Kerberos,但不确定Java的LDAP方法是否支持。
有没有人有可行代码的示例?谢谢。
有三种认证协议可用于在Linux或任何其他平台上执行Java和Active Directory之间的身份验证(这些不仅适用于HTTP服务):
Kerberos - Kerberos提供单点登录(SSO)和委派,但Web服务器还需要SPNEGO支持才能通过IE接受SSO。
NTLM - NTLM支持通过IE进行SSO(如果其他浏览器正确配置,则还支持其他浏览器)。
LDAP - LDAP绑定可用于简单验证帐户名和密码。
还有一种称为“ADFS”的东西,它使用调用Windows SSP的SAML为网站提供SSO,因此实际上是使用上述其他协议的迂回方式。
每个协议都有其优点,但通常应尽量“按照Windows的做法”以实现最大兼容性。那么Windows怎么做呢?
首先,两台Windows机器之间的身份验证偏爱Kerberos,因为服务器不需要与DC通信,并且客户端可以缓存Kerberos票据,从而减轻了DC的负载(因为Kerberos支持委派)。
但是,如果验证方不都具有域帐户,或者如果客户端无法与DC通信,则需要NTLM。因此,Kerberos和NTLM并不是相互排斥的,而且NTLM并没有被Kerberos淘汰。实际上,在某些方面,NTLM比Kerberos更好。请注意,当在同一句话中提到Kerberos和NTLM时,我还必须提到SPENGO和集成Windows身份验证(IWA)。 IWA是一个简单的术语,基本上意味着Kerberos或NTLM或SPNEGO来协商Kerberos或NTLM。
使用LDAP绑定作为验证凭据的方法不高效且需要SSL。但是,直到最近实现Kerberos和NTLM一直很困难,因此使用LDAP作为临时身份验证服务仍然存在。但是,现在应该尽量避免使用它。LDAP是信息目录而不是身份验证服务。请将其用于预期目的。那么,如何在Java中以及特别是在Web应用程序的上下文中实现Kerberos或NTLM呢?
有许多大公司(如Quest Software和Centrify)提供专门针对Java的解决方案。我无法对此发表评论,因为它们是公司范围的“身份管理解决方案”,因此从其网站的营销宣传中很难确定使用了哪些协议以及如何使用。您需要联系他们了解详细信息。
在Java中实现Kerberos并不是非常困难,因为标准Java库通过org.ietf.gssapi类支持Kerberos。但是,直到最近还存在一个重要障碍-IE不发送原始Kerberos令牌,而是发送SPNEGO令牌。但是,随着Java 6的推出,SPNEGO已经得到实现。理论上,您应该能够编写一些GSSAPI代码来验证IE客户端。但我没有尝试过。多年来,Sun的Kerberos实现一直是一个笑话,因此基于Sun在这个领域的记录,我不会对他们的SPENGO实现做出任何承诺,直到您掌握了这个技术。
对于NTLM,有一个名为JCIFS的免费OSS项目,它具有NTLM HTTP身份验证Servlet过滤器。但是,它使用中间人方法来验证凭据与不支持NTLMv2(这正在逐渐成为必需的域安全策略)的SMB服务器。因此,JCIFS的HTTP过滤器部分将被删除。请注意,有许多衍生项目使用JCIFS来实现相同的技术。因此,如果您看到其他声称支持NTLM SSO的项目,请查看详细信息。
import com.sun.jndi.ldap.LdapCtxFactory;
import java.util.ArrayList;
import java.util.Hashtable;
import java.util.List;
import java.util.Iterator;
import javax.naming.Context;
import javax.naming.AuthenticationException;
import javax.naming.NamingEnumeration;
import javax.naming.NamingException;
import javax.naming.directory.Attribute;
import javax.naming.directory.Attributes;
import javax.naming.directory.DirContext;
import javax.naming.directory.SearchControls;
import javax.naming.directory.SearchResult;
import static javax.naming.directory.SearchControls.SUBTREE_SCOPE;
class App2 {
public static void main(String[] args) {
if (args.length != 4 && args.length != 2) {
System.out.println("Purpose: authenticate user against Active Directory and list group membership.");
System.out.println("Usage: App2 <username> <password> <domain> <server>");
System.out.println("Short usage: App2 <username> <password>");
System.out.println("(short usage assumes 'xyz.tld' as domain and 'abc' as server)");
System.exit(1);
}
String domainName;
String serverName;
if (args.length == 4) {
domainName = args[2];
serverName = args[3];
} else {
domainName = "xyz.tld";
serverName = "abc";
}
String username = args[0];
String password = args[1];
System.out
.println("Authenticating " + username + "@" + domainName + " through " + serverName + "." + domainName);
// bind by using the specified username/password
Hashtable props = new Hashtable();
String principalName = username + "@" + domainName;
props.put(Context.SECURITY_PRINCIPAL, principalName);
props.put(Context.SECURITY_CREDENTIALS, password);
DirContext context;
try {
context = LdapCtxFactory.getLdapCtxInstance("ldap://" + serverName + "." + domainName + '/', props);
System.out.println("Authentication succeeded!");
// locate this user's record
SearchControls controls = new SearchControls();
controls.setSearchScope(SUBTREE_SCOPE);
NamingEnumeration<SearchResult> renum = context.search(toDC(domainName),
"(& (userPrincipalName=" + principalName + ")(objectClass=user))", controls);
if (!renum.hasMore()) {
System.out.println("Cannot locate user information for " + username);
System.exit(1);
}
SearchResult result = renum.next();
List<String> groups = new ArrayList<String>();
Attribute memberOf = result.getAttributes().get("memberOf");
if (memberOf != null) {// null if this user belongs to no group at all
for (int i = 0; i < memberOf.size(); i++) {
Attributes atts = context.getAttributes(memberOf.get(i).toString(), new String[] { "CN" });
Attribute att = atts.get("CN");
groups.add(att.get().toString());
}
}
context.close();
System.out.println();
System.out.println("User belongs to: ");
Iterator ig = groups.iterator();
while (ig.hasNext()) {
System.out.println(" " + ig.next());
}
} catch (AuthenticationException a) {
System.out.println("Authentication failed: " + a);
System.exit(1);
} catch (NamingException e) {
System.out.println("Failed to bind to LDAP / get account information: " + e);
System.exit(1);
}
}
private static String toDC(String domainName) {
StringBuilder buf = new StringBuilder();
for (String token : domainName.split("\\.")) {
if (token.length() == 0)
continue; // defensive check
if (buf.length() > 0)
buf.append(",");
buf.append("DC=").append(token);
}
return buf.toString();
}
}
import com.sun.jndi.ldap.LdapCtxFactory; - 这很可能只适用于Sun JVM。 - Thorbjørn Ravn Andersen我刚刚完成了一个使用AD和Java的项目。
我们使用了Spring ldapTemplate。
AD兼容LDAP(几乎),我认为您不会在任务中遇到任何问题。我的意思是,如果您只想连接,那么它是AD或任何其他LDAP服务器都无关紧要。
我建议看一下:Spring LDAP
他们也有示例。
至于加密,我们使用了SSL连接(因此它是LDAPS)。 AD必须在SSL端口/协议上进行配置。
但首先,请确保您可以通过LDAP IDE正确连接到您的AD。 我使用Apache Directory Studio,它非常酷,而且它是用Java编写的。这就是我需要的全部。 为了测试目的,您还可以安装Apache Directory Server
正如ioplex和其他人所说,有很多选择。要使用LDAP(以及Novell LDAP API)进行身份验证,我通常会使用类似以下的代码:
LDAPConnection connection = new LDAPConnection( new LDAPJSSEStartTLSFactory() );
connection.connect(hostname, port);
connection.startTLS();
connection.bind(LDAPConnection.LDAP_V3, username+"@"+domain, password.getBytes());
您只是在验证凭据吗?如果是这样,您可以使用普通的kerberos而不必使用LDAP。
没有 SSL 的 LDAP 认证是不安全的,因为 LDAP 客户端在进行 LDAP 绑定操作时会传输用户名和密码,任何人都可以查看用户凭据。因此,始终使用 ldaps 协议。
来源:Java Spring Security 中的 Active Directory LDAP 认证示例