码上快乐

相关内容   简体   繁体

Java程序通过LDAP对用户进行登陆验证

本文转载自  查看原文  2017-11-24 10:24  1470 

 

LDAP服务器的概念和原理简单介绍

1. 目录服务

目录是一个为查询、浏览和搜索而优化的专业分布式数据库,它呈树状结构组织数据,就好象Linux/Unix系统中的文件目录一样。目录数据库和关系数据库不同,它有优异的读性能,但写性能差,并且没有事务处理、回滚等复杂功能,不适于存储修改频繁的数据。所以目录天生是用来查询的,就好象它的名字一样。

目录服务是由目录数据库和一套访问协议组成的系统。类似以下的信息适合储存在目录中:

  • 企业员工信息,如姓名、电话、邮箱等;
  • 公用证书和安全密钥;
  • 公司的物理设备信息,如服务器,它的IP地址、存放位置、厂商、购买时间等;

LDAP是轻量目录访问协议(Lightweight Directory Access Protocol)的缩写,LDAP是从X.500目录访问协议的基础上发展过来的,目前的版本是v3.0。与LDAP一样提供类似的目录服务软件还有ApacheDSActive DirectoryRed Hat Directory Service 。

2. LDAP特点

  • LDAP的结构用树来表示,而不是用表格。正因为这样,就不能用SQL语句了
  • LDAP可以很快地得到查询结果,不过在写方面,就慢得多
  • LDAP提供了静态数据的快速查询方式
  • Client/server模型,Server 用于存储数据,Client提供操作目录信息树的工具
  • 这些工具可以将数据库的内容以文本格式(LDAP 数据交换格式,LDIF)呈现在您的面前
  • LDAP是一种开放Internet标准,LDAP协议是跨平台的Interent协议

3. LDAP组织数据的方式

4. 基本概念

在浏览LDAP相关文档时经常会遇见一些概念,下面是常见概念的简单解释。

4.1 Entry

条目,也叫记录项,是LDAP中最基本的颗粒,就像字典中的词条,或者是数据库中的记录。通常对LDAP的添加、删除、更改、检索都是以条目为基本对象的。

dn:每一个条目都有一个唯一的标识名(distinguished Name ,DN),如上图中一个 dn:"cn=baby,ou=marketing,ou=people,dc=mydomain,dc=org" 。通过DN的层次型语法结构,可以方便地表示出条目在LDAP树中的位置,通常用于检索。

rdn:一般指dn逗号最左边的部分,如cn=baby。它与RootDN不同,RootDN通常与RootPW同时出现,特指管理LDAP中信息的最高权限用户。

Base DN:LDAP目录树的最顶部就是根,也就是所谓的“Base DN",如"dc=mydomain,dc=org"。

4.2 Attribute

每个条目都可以有很多属性(Attribute),比如常见的人都有姓名、地址、电话等属性。每个属性都有名称及对应的值,属性值可以有单个、多个,比如你有多个邮箱。

属性不是随便定义的,需要符合一定的规则,而这个规则可以通过schema制定。比如,如果一个entry没有包含在 inetorgperson 这个 schema 中的objectClass: inetOrgPerson,那么就不能为它指定employeeNumber属性,因为employeeNumber是在inetOrgPerson中定义的。

LDAP为人员组织机构中常见的对象都设计了属性(比如commonName,surname)。下面有一些常用的别名:

属性 别名 语法 描述 值(举例)
commonName cn Directory String 姓名 sean
surname sn Directory String Chow
organizationalUnitName ou Directory String 单位(部门)名称 IT_SECTION
organization  o Directory String 组织(公司)名称 example
telephoneNumber   Telephone Number 电话号码 110
objectClass     内置属性 organizationalPerson

4.3 ObjectClass

对象类是属性的集合,LDAP预想了很多人员组织机构中常见的对象,并将其封装成对象类。比如人员(person)含有姓(sn)、名(cn)、电话(telephoneNumber)、密码(userPassword)等属性,单位职工(organizationalPerson)是人员(person)的继承类,除了上述属性之外还含有职务(title)、邮政编码(postalCode)、通信地址(postalAddress)等属性。

通过对象类可以方便的定义条目类型。每个条目可以直接继承多个对象类,这样就继承了各种属性。如果2个对象类中有相同的属性,则条目继承后只会保留1个属性。对象类同时也规定了哪些属性是基本信息,必须含有(Must 活Required,必要属性):哪些属性是扩展信息,可以含有(May或Optional,可选属性)。

对象类有三种类型:结构类型(Structural)、抽象类型(Abstract)和辅助类型(Auxiliary)。结构类型是最基本的类型,它规定了对象实体的基本属性,每个条目属于且仅属于一个结构型对象类。抽象类型可以是结构类型或其他抽象类型父类,它将对象属性中共性的部分组织在一起,称为其他类的模板,条目不能直接集成抽象型对象类。辅助类型规定了对象实体的扩展属性。每个条目至少有一个结构性对象类。

对象类本身是可以相互继承的,所以对象类的根类是top抽象型对象类。以常用的人员类型为例,他们的继承关系:

下面是inetOrgPerson对象类的在schema中的定义,可以清楚的看到它的父类SUB和可选属性MAY、必要属性MUST(继承自organizationalPerson),关于各属性的语法则在schema中的attributetype定义。

# inetOrgPerson # The inetOrgPerson represents people who are associated with an # organization in some way. It is a structural class and is derived # from the organizationalPerson which is defined in X.521 [X521]. objectclass ( 2.16.840.1.113730.3.2.2 NAME 'inetOrgPerson' DESC 'RFC2798: Internet Organizational Person' SUP organizationalPerson STRUCTURAL MAY ( audio $ businessCategory $ carLicense $ departmentNumber $ displayName $ employeeNumber $ employeeType $ givenName $ homePhone $ homePostalAddress $ initials $ jpegPhoto $ labeledURI $ mail $ manager $ mobile $ o $ pager $ photo $ roomNumber $ secretary $ uid $ userCertificate $ x500uniqueIdentifier $ preferredLanguage $ userSMIMECertificate $ userPKCS12 ) )

4.4 Schema

对象类(ObjectClass)、属性类型(AttributeType)、语法(Syntax)分别约定了条目、属性、值,他们之间的关系如下图所示。所以这些构成了模式(Schema)——对象类的集合。条目数据在导入时通常需要接受模式检查,它确保了目录中所有的条目数据结构都是一致的。

schema(一般在/etc/ldap/schema/目录)在导入时要注意前后顺序。

4.5 backend & database

ldap的后台进程slapd接收、响应请求,但实际存储数据、获取数据的操作是由Backends做的,而数据是存放在database中,所以你可以看到往往你可以看到backenddatabase指令是一样的值如 bdb 。一个 backend 可以有多个 database instance,但每个 database 的 suffix 和 rootdn 不一样。openldap 2.4版本的模块是动态加载的,所以在使用backend时需要moduleload back_bdb指令。

bdb是一个高性能的支持事务和故障恢复的数据库后端,可以满足绝大部分需求。许多旧文档里(包括官方)说建议将bdb作为首选后端服务(primary backend),但2.4版文档明确说hdb才是被首先推荐使用的,这从 2.4.40 版默认安装后的配置文件里也可以看出。hdb是基于bdb的,但是它通过扩展的索引和缓存技术可以加快数据访问,修改entries会更有效率,有兴趣可以访问上的链接或slapd.backends

另外config是特殊的backend,用来在运行时管理slapd的配置,它只能有一个实例,甚至无需显式在slapd.conf中配置。

4.6 TLS & SASL

分布式LDAP 是以明文的格式通过网络来发送信息的,包括client访问ldap的密码(当然一般密码已然是二进制的),SSL/TLS 的加密协议就是来保证数据传送的保密性和完整性。

SASL (Simple Authenticaion and Security Layer)简单身份验证安全框架,它能够实现openldap客户端到服务端的用户验证,也是ldapsearchldapmodify这些标准客户端工具默认尝试与LDAP服务端认证用户的方式(前提是已经安装好 Cyrus SASL)。SASL有几大工业实现标准:Kerveros V5、DIGEST-MD5、EXTERNAL、PLAIN、LOGIN。

Kerveros V5是里面最复杂的一种,使用GSSAPI机制,必须配置完整的Kerberos V5安全系统,密码不再存放在目录服务器中,每一个dn与Kerberos数据库的主体对应。DIGEST-MD5稍微简单一点,密码通过saslpasswd2生成放在sasldb数据库中,或者将明文hash存到LDAP dn的userPassword中,每一个authid映射成目录服务器的dn,常和SSL配合使用。参考将 LDAP 客户端配置为使用安全性

EXTERNAL一般用于初始化添加schema时使用,如ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/core.ldif

4.7 LDIF

LDIF(LDAP Data Interchange Format,数据交换格式)是LDAP数据库信息的一种文本格式,用于数据的导入导出,每行都是“属性: 值”对,见 openldap ldif格式示例

OpenLDAP(2.4.3x)服务器安装配置方法见这里

参考

原文链接地址:http://seanlook.com/2015/01/15/openldap_introduction/

 

     在去年南京项目中,客户方要求用户登陆需要在其他平台下进行认证,当时客户用的LDAP“数据库”管理方式,后来查阅Java已经对LDAP进行了封装,不需要下载其他jar包就可以实现。

       补脑:【LDAP】是"Lightweight Directory Access Protocol"的缩写,中文翻译过来就叫“轻量目录访问协议”,看字面大概能猜出应该是以树状形存储数据的数据库,后来翻阅资料确实如此。其中包含几个重要的参数:CN,DN,DC,OU。至于这个缩写单词的含义,有兴趣可以去百科或者官网脑补一下,下面程序中将会引用这几个才参数,也会进行简单的描述。

 

[java]  view plain  copy
 
  1. package com.angma.mes.zbe.moudle.service.util;  
  2.   
  3. import com.angma.mes.jagybarcode.manager.controller.plan.machine.MachineShopTaskCreateController;  
  4. import com.sun.org.apache.xerces.internal.impl.dv.util.Base64;  
  5. import java.security.MessageDigest;  
  6. import java.security.NoSuchAlgorithmException;  
  7. import java.util.Hashtable;  
  8. import java.util.logging.Level;  
  9. import java.util.logging.Logger;  
  10. import javax.naming.Context;  
  11. import javax.naming.NamingException;  
  12. import javax.naming.directory.DirContext;  
  13. import javax.naming.directory.InitialDirContext;  
  14.   
  15. /** 
  16.  * 用户登陆认证,LDAP跨域认证,通过LDAP对用户进行更新 
  17.  *  
  18.  * @author xlj 
  19.  * @date 2015.07.10 
  20.  */  
  21. public class LdapUtil {  
  22.   
  23.     private static DirContext ctx;  
  24.   
  25.     // LDAP服务器端口默认为389  
  26.     private static final String LDAP_URL = "ldap://127.0.0.1:389";  
  27.   
  28.     // ROOT根据此参数确认用户组织所在位置  
  29.     private static final String LDAP_PRINCIPAL = "OU=CMA Users,DC=changan-mazda,DC=com,DC=cn";  
  30.   
  31.     // LDAP驱动  
  32.     private static final String LDAP_FACTORY = "com.sun.jndi.ldap.LdapCtxFactory";  
  33.   
  34.     private static Logger logger = Logger.getLogger(LdapUtil.class);  
  35.   
  36.     /**** 测试 ****/  
  37.     public static void main(String[] args) {  
  38.         LdapUtil.getLoginContext();  
  39.         LdapUtil.addUserLdap("10000", "123456");  
  40.         LdapUtil.updatePasswordLdap("10000", "1234567");  
  41.         LdapUtil.deleteUserLdap("10000");  
  42.     }  
  43.   
  44.     // 通过连接LDAP服务器对用户进行认证,返回LDAP对象  
  45.     public static DirContext getLoginContext() {  
  46.         String account = "zhangsan"; // 模拟用户名  
  47.         String password = "123456"; // 模拟密码  
  48.         for (int i = 0; i < 5; i++) { // 验证次数  
  49.             Hashtable env = new Hashtable();  
  50.             env.put(Context.SECURITY_AUTHENTICATION, "simple");  
  51.             env.put(Context.SECURITY_CREDENTIALS, password);  
  52.             // cn=属于哪个组织结构名称,ou=某个组织结构名称下等级位置编号  
  53.             env.put(Context.SECURITY_PRINCIPAL, "cn=" + account + ", ou=Level0" + i + "00," + LDAP_URL);  
  54.             env.put(Context.INITIAL_CONTEXT_FACTORY, LDAP_PRINCIPAL);  
  55.             env.put(Context.PROVIDER_URL, LDAP_FACTORY);  
  56.             try {  
  57.                 // 连接LDAP进行认证  
  58.                 ctx = new InitialDirContext(env);  
  59.                 System.out.println("认证成功");  
  60.                 logger.info("【" + account + "】用户于【" + new SimpleDateFormat("yyyy-MM-dd HH:mm:ss").format(new Date()) + "】登陆系统成功");  
  61.             } catch (javax.naming.AuthenticationException e) {  
  62.                 System.out.println("认证失败");  
  63.             } catch (NamingException err) {  
  64.                 logger.info("--------->>【" + account + "】用户验证失败【" + i + "】次");  
  65.             } catch (Exception e) {  
  66.                 System.out.println("认证出错:");  
  67.                 e.printStackTrace();  
  68.             }  
  69.         }  
  70.         return ctx;  
  71.     }  
  72.   
  73.     // 将输入用户和密码进行加密算法后验证  
  74.     public static boolean verifySHA(String ldappw, String inputpw) {  
  75.   
  76.         // MessageDigest 提供了消息摘要算法,如 MD5 或 SHA,的功能,这里LDAP使用的是SHA-1  
  77.         MessageDigest md = MessageDigest.getInstance("SHA-1");  
  78.   
  79.         // 取出加密字符  
  80.         if (ldappw.startsWith("{SSHA}")) {  
  81.             ldappw = ldappw.substring(6);  
  82.         } else if (ldappw.startsWith("{SHA}")) {  
  83.             ldappw = ldappw.substring(5);  
  84.         }  
  85.   
  86.         // 解码BASE64  
  87.         byte[] ldappwbyte = Base64.decode(ldappw);  
  88.         byte[] shacode;  
  89.         byte[] salt;  
  90.   
  91.         // 前20位是SHA-1加密段,20位后是最初加密时的随机明文  
  92.         if (ldappwbyte.length <= 20) {  
  93.             shacode = ldappwbyte;  
  94.             salt = new byte[0];  
  95.         } else {  
  96.             shacode = new byte[20];  
  97.             salt = new byte[ldappwbyte.length - 20];  
  98.             System.arraycopy(ldappwbyte, 0, shacode, 0, 20);  
  99.             System.arraycopy(ldappwbyte, 20, salt, 0, salt.length);  
  100.         }  
  101.   
  102.         // 把用户输入的密码添加到摘要计算信息  
  103.         md.update(inputpw.getBytes());  
  104.         // 把随机明文添加到摘要计算信息  
  105.         md.update(salt);  
  106.   
  107.         // 按SSHA把当前用户密码进行计算  
  108.         byte[] inputpwbyte = md.digest();  
  109.   
  110.         // 返回校验结果  
  111.         return MessageDigest.isEqual(shacode, inputpwbyte);  
  112.     }  
  113.   
  114.     // 添加用户  
  115.     public static boolean addUserLdap(String account, String password) {  
  116.         boolean success = false;  
  117.         try {  
  118.             ctx = LdapUtil.getLoginContext();  
  119.             BasicAttributes attrsbu = new BasicAttributes();  
  120.             BasicAttribute objclassSet = new BasicAttribute("objectclass");  
  121.             objclassSet.add("person");  
  122.             objclassSet.add("top");  
  123.             objclassSet.add("organizationalPerson");  
  124.             objclassSet.add("inetOrgPerson");  
  125.             attrsbu.put(objclassSet);  
  126.             attrsbu.put("sn", account);  
  127.             attrsbu.put("uid", account);  
  128.             attrsbu.put("userPassword", password);  
  129.             ctx.createSubcontext("cn=" + account + ",ou=People", attrsbu);  
  130.             ctx.close();  
  131.             return true;  
  132.         } catch (NamingException ex) {  
  133.             try {  
  134.                 if (ctx != null) {  
  135.                     ctx.close();  
  136.                 }  
  137.             } catch (NamingException namingException) {  
  138.                 namingException.printStackTrace();  
  139.             }  
  140.             logger.info("--------->>添加用户失败");  
  141.         }  
  142.         return false;  
  143.     }  
  144.   
  145.     // 修改密码  
  146.     public static boolean updatePasswordLdap(String account, String password) {  
  147.         boolean success = false;  
  148.         try {  
  149.             ctx = LdapUtil.getLoginContext();  
  150.             ModificationItem[] modificationItem = new ModificationItem[1];  
  151.             modificationItem[0] = new ModificationItem(DirContext.REPLACE_ATTRIBUTE, new BasicAttribute("userPassword", password));  
  152.             ctx.modifyAttributes("cn=" + account + ",ou=People", modificationItem);  
  153.             ctx.close();  
  154.             return true;  
  155.         } catch (NamingException ex) {  
  156.             try {  
  157.                 if (ctx != null) {  
  158.                     ctx.close();  
  159.                 }  
  160.             } catch (NamingException namingException) {  
  161.                 namingException.printStackTrace();  
  162.             }  
  163.             logger.info("--------->>修改密码失败");  
  164.         }  
  165.         return success;  
  166.     }  
  167.   
  168.     // 删除用户  
  169.     public static boolean deleteUserLdap(String account) {  
  170.         try {  
  171.             ctx = LdapUtil.getLoginContext();  
  172.             ctx.destroySubcontext("cn=" + account);  
  173.         } catch (Exception ex) {  
  174.             try {  
  175.                 if (ctx != null) {  
  176.                     ctx.close();  
  177.                 }  
  178.             } catch (NamingException namingException) {  
  179.                 namingException.printStackTrace();  
  180.             }  
  181.             logger.info("--------->>删除用户失败");  
  182.             return false;  
  183.         }  
  184.         return true;  
  185.     }  
  186.   
  187.     // 关闭LDAP服务器连接  
  188.     public static void closeCtx() {  
  189.         try {  
  190.             ctx.close();  
  191.         } catch (NamingException ex) {  
  192.             logger.info("--------->> 关闭LDAP连接失败");  
  193.         }  
  194.     }  
  195. }  

 

 

声明:以上教程为博主原创,若需转载请注明出处,谢谢。


免责声明!

本站转载的文章为个人学习借鉴使用,本站对版权不负任何法律责任。如果侵犯了您的隐私权益,请联系本站邮箱yoyou2525@163.com删除。



猜您在找 Ldap登陆AD(Active Directory)进行认证的Java示例 Jenkins安装并配置ldap登陆验证 App登陆java后台处理和用户权限验证 jsp验证用户是否登陆 ubuntu登陆root用户验证失败 java基于token验证之登陆验证 ldap的实现单点登陆 基于gin框架和jwt-go中间件实现小程序用户登陆和token验证 JAVA实现注册登陆的短信验证 asp.net mvc 登陆及用户角色验证
 
粤ICP备18138465号  © 2018-2025 CODEPRJ.COM