本文转自:http://blog.sina.com.cn/s/blog_3f7d7b7c0100cvya.html
感谢作者。
LDAP的英文全称是Lightweight Directory Access Protocol,一般都简称为LDAP。它是基于X.500标准的,但是简单多了并且可以根据需要定制。与X.500不同,LDAP支持TCP/IP,这对访问Internet是必须的。LDAP的核心规范在RFC中都有定义,所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。现在LDAP技术不仅发展得很快而且也是激动人心的。在企业范围内实现LDAP可以让运行在几乎所有计算机平台上的所有的应用程序从 LDAP目录中获取信息。LDAP目录中可以存储各种类型的数据:电子邮件地址、邮件路由信息、人力资源数据、公用密匙、联系人列表,等等。通过把 LDAP目录作为系统集成中的一个重要环节,可以简化员工在企业内部查询信息的步骤,甚至连主要的数据源都可以放在任何地方。
在前一阵子改版Sun SITE的时候,由于考虑到学校里的同学们使用的基本都是教育网,连接外网很麻烦,所以学习learningconnection上的课程也非常的麻烦,于是我和Vincent就考虑把SAI的一部分课程移植到Sun SITE上面来,以供教育网的同学使用。我们使用了Sakai这一套开源软件来提供SAI课程的在线学习,由于Sakai的用户需要在LDAP上进行认证,因此需要把用户认证放到LDAP上来。在学习使用LDAP的过程中遇到了一些问题,现在总结一下:
1、管理连接的LdapHelper.java
package sunsite.basic;
import com.sun.org.apache.xerces.internal.impl.dv.util.Base64;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.util.Hashtable;
import java.util.logging.Level;
import java.util.logging.Logger;
import javax.naming.Context;
import javax.naming.NamingException;
import javax.naming.directory.DirContext;
import javax.naming.directory.InitialDirContext;
public class LdapHelper {
private static DirContext ctx;
@SuppressWarnings(value = "unchecked")
public static DirContext getCtx() {
// if (ctx != null ) {
// return ctx;
// }
String account = "Manager"; //binddn
String password = "pwd"; //bindpwd
String root = "dc=scut,dc=edu,dc=cn"; // root
Hashtable env = new Hashtable();
env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.ldap.LdapCtxFactory");
env.put(Context.PROVIDER_URL, "ldap://localhost:389/" + root);
env.put(Context.SECURITY_AUTHENTICATION, "simple");
env.put(Context.SECURITY_PRINCIPAL, "cn="+account );
env.put(Context.SECURITY_CREDENTIALS, password);
try {
// 链接ldap
ctx = new InitialDirContext(env);
System.out.println("认证成功");
} catch (javax.naming.AuthenticationException e) {
System.out.println("认证失败");
} catch (Exception e) {
System.out.println("认证出错:");
e.printStackTrace();
}
return ctx;
}
public static void closeCtx(){
try {
ctx.close();
} catch (NamingException ex) {
Logger.getLogger(LdapHelper.class.getName()).log(Level.SEVERE, null, ex);
}
}
@SuppressWarnings(value = "unchecked")
public static boolean verifySHA(String ldappw, String inputpw)
throws NoSuchAlgorithmException {
// MessageDigest 提供了消息摘要算法,如 MD5 或 SHA,的功能,这里LDAP使用的是SHA-1
MessageDigest md = MessageDigest.getInstance("SHA-1");
// 取出加密字符
if (ldappw.startsWith("{SSHA}")) {
ldappw = ldappw.substring(6);
} else if (ldappw.startsWith("{SHA}")) {
ldappw = ldappw.substring(5);
}
// 解码BASE64
byte[] ldappwbyte = Base64.decode(ldappw);
byte[] shacode;
byte[] salt;
// 前20位是SHA-1加密段,20位后是最初加密时的随机明文
if (ldappwbyte.length <= 20) {
shacode = ldappwbyte;
salt = new byte[0];
} else {
shacode = new byte[20];
salt = new byte[ldappwbyte.length - 20];
System.arraycopy(ldappwbyte, 0, shacode, 0, 20);
System.arraycopy(ldappwbyte, 20, salt, 0, salt.length);
}
// 把用户输入的密码添加到摘要计算信息
md.update(inputpw.getBytes());
// 把随机明文添加到摘要计算信息
md.update(salt);
// 按SSHA把当前用户密码进行计算
byte[] inputpwbyte = md.digest();
// 返回校验结果
return MessageDigest.isEqual(shacode, inputpwbyte);
}
public static void main(String[] args) {
getCtx();
}
}
以上这段代码中,public static DirContext getCtx() 这一个方法负责建立与ldap服务器的连接,public static boolean verifySHA(String ldappw, String inputpw)
方法负责判断将明文密码跟ldap中的用户密码进行匹配判断。因为ldap中的用户密码是经过SSHA散列的,因此必须将明文转换为SSHA码才能够进行匹配。这一个算法,我是参考
http://raistlin.spaces.live.com/blog/cns!20be4528d42aa141!165.entry
上的代码,仅作为学习参考而用。
2、添加人员的操作:
public static boolean addUser(String usr, String pwd) {
boolean success = false;
DirContext ctx = null;
try {
ctx = LdapHelper.getCtx();
BasicAttributes attrsbu = new BasicAttributes();
BasicAttribute objclassSet = new BasicAttribute("objectclass");
objclassSet.add("person");
objclassSet.add("top");
objclassSet.add("organizationalPerson");
objclassSet.add("inetOrgPerson");
attrsbu.put(objclassSet);
attrsbu.put("sn", usr);
attrsbu.put("uid", usr);
attrsbu.put("userPassword", pwd);
ctx.createSubcontext("cn=" + usr + ",ou=People", attrsbu);
ctx.close();
return true;
} catch (NamingException ex) {
try {
if (ctx != null) {
ctx.close();
}
} catch (NamingException namingException) {
namingException.printStackTrace();
}
Logger.getLogger(LdapHelper.class.getName()).log(Level.SEVERE, null, ex);
}
return false;
}
这一段代码为每个用户分配了一个cn,使用userPassword的属性来存储用户密码,这一属性是经过SSHA散列的。
3、用户认证:
public static boolean authenticate(String usr, String pwd) {
boolean success = false;
DirContext ctx = null;
try {
ctx = LdapHelper.getCtx();
SearchControls constraints = new SearchControls();
constraints.setSearchScope(SearchControls.SUBTREE_SCOPE);
// constraints.setSearchScope(SearchControls.ONELEVEL_SCOPE);
NamingEnumeration en = ctx.search("", "cn=" + usr, constraints); // 查询所有用户
while (en != null && en.hasMoreElements()) {
Object obj = en.nextElement();
if (obj instanceof SearchResult) {
SearchResult si = (SearchResult) obj;
System.out.println("name: " + si.getName());
Attributes attrs = si.getAttributes();
if (attrs == null) {
System.out.println("No attributes");
} else {
Attribute attr = attrs.get("userPassword");
Object o = attr.get();
byte[] s = (byte[]) o;
String pwd2 = new String(s);
success = LdapHelper.verifySHA(pwd2, pwd);
return success;
}
} else {
System.out.println(obj);
}
System.out.println();
}
ctx.close();
} catch (NoSuchAlgorithmException ex) {
try {
if (ctx != null) {
ctx.close();
}
} catch (NamingException namingException) {
namingException.printStackTrace();
}
Logger.getLogger(DBAccess.class.getName()).log(Level.SEVERE, null, ex);
} catch (NamingException ex) {
try {
if (ctx != null) {
ctx.close();
}
} catch (NamingException namingException) {
namingException.printStackTrace();
}
Logger.getLogger(LdapHelper.class.getName()).log(Level.SEVERE, null, ex);
}
return false;
}
这一段代码事实上在查询用户的的cn和密码,当然由于密码这个属性需要散列成SSHA,因此调用了LdapHelper中的verifySHA方法。
3、修改密码:
public static boolean updatePwdLdap(String usr, String pwd) {
boolean success = false;
DirContext ctx = null;
try {
ctx = LdapHelper.getCtx();
ModificationItem[] modificationItem = new ModificationItem[1];
modificationItem[0] = new ModificationItem(DirContext.REPLACE_ATTRIBUTE, new BasicAttribute("userPassword", pwd));
ctx.modifyAttributes("cn=" + usr+",ou=People", modificationItem);
ctx.close();
return true;
} catch (NamingException ex) {
try {
if (ctx != null) {
ctx.close();
}
} catch (NamingException namingException) {
namingException.printStackTrace();
}
Logger.getLogger(LdapHelper.class.getName()).log(Level.SEVERE, null, ex);
}
return success;
}
这一方法实质上执行的是一个ldap update的操作,只不过是把密码散列了一下。
4、删除用户,非常简单,只要执行一下
ctx.destroySubcontext("cn=" + account); 即可。
5、为了方便地查看ldap上的信息,可以使用ldapbrowser这一开源软件,这是一款非常不错的ldap工具,下载地址是
http://www-unix.mcs.anl.gov/~gawor/ldap/download.html
参考资料:
分享到:
相关推荐
**LDAP实用资料收录** 本文档将深入探讨Lightweight Directory Access Protocol (LDAP)的相关知识,包括其基础概念、目录结构、身份验证方式、复制机制、应用领域以及权限控制等方面,为理解与使用LDAP提供全面的...
1. **图形化界面**:LdapBrowser提供了直观的图形用户界面,使得非技术用户也能轻松理解和操作LDAP目录。 2. **连接管理**:支持创建、保存和管理多个LDAP服务器连接,适应多环境下的工作需求。 3. **目录浏览**:...
它以简洁的界面和基础功能,为LDAP管理提供了一个实用的替代选择,免注册的特性则进一步降低了使用的门槛。无论是在日常的用户管理,还是在进行目录服务的维护和调试过程中,这样的工具都能发挥重要作用。
**LDAP技术概述** LDAP(Lightweight Directory Access Protocol)是一种轻量级目录访问协议,用于管理和检索分布式目录服务中的数据。这种协议设计的目标是提供一种快速、简单的方式,以供用户和应用程序查找、...
- **Netscape LDAP SDK**:虽然不再维护,但其在早期对LDAP技术的推广起到了重要作用。 总之,LDAP作为一种轻量级目录访问协议,以其高效、安全和灵活的特点,在现代企业的网络服务和安全管理中扮演着不可或缺的...
1. **图形化界面**:LdapAdmin提供了直观的用户界面,使得LDAP目录操作变得简单易懂,非技术背景的管理员也能快速上手。 2. **多语言支持**:作为一款国际化的工具,LdapAdmin支持多种语言,包括中文,方便不同地区...
**LDAP技术概述** LDAP(Lightweight Directory Access Protocol)是一种轻量级目录访问协议,用于存储和检索分布式目录服务中的信息。它基于X.500标准,但设计得更为简洁,适合互联网环境。LDAP允许用户通过简单的...
### LDAP使用手册知识点详解 #### 一、LDAP简介 **LDAP**(Lightweight Directory Access Protocol,轻量级目录访问协议)是一种广泛应用于企业环境中的目录服务标准。它源自于更早的X.500标准,后者是由ITU-T和...
综上所述,这个"ldap.zip"压缩包中的项目是一个结合了DELPHI和LDAP技术的电话簿应用,涵盖了从连接LDAP服务器、查询和操作数据,到设计用户界面等多个方面的知识。开发者在实现这个应用时,需要熟练掌握DELPHI编程和...
标题与描述中的关键词“spring ldap的使用”指向的是在Spring框架下集成轻量级目录访问协议(Lightweight Directory ...掌握这些概念和技巧对于任何希望在企业级应用中利用LDAP目录服务的开发者来说都是至关重要的。
**LDAP技术概述** LDAP(Lightweight Directory Access Protocol)是一种轻量级目录访问协议,用于管理和检索分布式目录服务中的数据。这种协议广泛应用于企业环境中,尤其是那些需要集中存储和管理用户身份信息、...
Ldapadmin通过提供清晰的用户界面,简化了通常复杂的命令行操作,使得非技术背景的用户也能轻松上手。 **核心功能** 1. **对象管理**:Ldapadmin支持创建、修改和删除用户、组、计算机、打印机等LDAP对象。用户...
在信息技术领域,LDAP(Lightweight Directory Access Protocol)是一种用于访问和管理分布式目录服务的协议。它被广泛应用于组织内部的用户认证、权限管理和数据存储。`ldapbrowser`是一个专门针对LDAP服务的连接...
### LDAP使用手册知识点详解 #### 一、LDAP简介 ...通过以上介绍,我们可以看到LDAP不仅在技术上有着独特的优势,而且在应用场景上也十分广泛,特别是在需要高效查询和管理大量用户或设备信息的情况下。
在信息技术领域,LDAP(Lightweight Directory Access Protocol)是一种用于访问和管理分布式目录服务的标准协议。它被广泛应用于组织内部的身份验证、用户权限管理和信息存储。Go-ldap-test-tool 是一个专为开发者...
LDAP程序访问技术主要涉及使用各种编程语言和API来访问和操作LDAP目录服务。 ##### 第一节 Sun公司的JNDI与各厂商实现的LDAP函数库关系 JNDI (Java Naming and Directory Interface) 是Sun Microsystems开发的一种...
为了确保数据的一致性,系统使用Spring LDAP库来操作LDAP服务器,执行增、删、改、查操作,并同步数据库中的数据。 LDAP目录通常包含了关于人或资源的集中式、静态数据,比如员工信息、联系人列表、电子邮件地址、...
虚拟网络、拖拽文件、PXE等技术是LDAP本身不直接提供的功能,但它们可以与LDAP结合使用来增强系统的综合管理能力。例如,网络管理系统可以通过查询LDAP目录来管理网络设备和用户权限;文件传输服务可以通过LDAP验证...
1. **跨平台性**:LDAP协议是标准且跨平台的,这意味着无论是在Windows、Linux还是其他操作系统上,都可以使用相同的协议、客户端软件包和查询命令与LDAP服务器进行交互。这种跨平台特性极大地简化了多平台环境下的...