25

我正在尝试通过 LDAP 针对 Active Directory 对用户进行身份验证。以下是我使用的代码片段:

private DirContext bindAsUser(String bindPrincipal, String password) {
    Hashtable<String,String> env = new Hashtable<String,String>();
    env.put(Context.SECURITY_AUTHENTICATION, "simple");
    env.put(Context.SECURITY_PRINCIPAL, bindPrincipal);
    env.put(Context.PROVIDER_URL, bindUrl);
    env.put(Context.SECURITY_CREDENTIALS, password);
    env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.ldap.LdapCtxFactory");
    env.put(Context.REFERRAL, "follow");

    try {
        return new InitialLdapContext(env, null);
    } catch (NamingException e) {
        e.printStackTrace()
    }
}

如果我提供,则绑定代码有效:

  • 下级登录名,即NetBIOSDomainName\sAMAccountName(例如域\用户名),或
  • userPrincipalName(例如用户名@abc.com),或
  • distinguishedName(例如 CN=username,OU=xxx,DC=abc,DC=com),或
  • objectSid(例如 S-1-5-21-3623811015-3361044348-30300820-1013)

作为SECURITY_PRINCIPAL,虽然如果sAMAccountName使用(例如用户名)失败(我猜只有在森林中唯一的名称是有效的)。

那么接受的模式是SECURITY_PRINCIPAL什么?我搜索了一些类似的问题,但没有一个提供对官方 AD/LDAP 文档的参考。还是我可以在某处查找的配置?谢谢!

4

2 回答 2

15

来自 [MS-ADTS: Active Directory Technical Specification],我猜是 AD 的官方文档。

http://msdn.microsoft.com/en-us/library/cc223499.aspx

“5.1.1.1.1 简单认证”一节列出了简单认证支持的所有名称形式。

于 2014-11-15T19:23:13.803 回答
2

我认为您需要检查 LDAP 主体模板。它指定 LDAP 服务器所需的主体身份验证模板。主体身份验证模板是安全主体(正在登录的人)的身份验证信息必须传递给 LDAP 服务器的格式。默认值为 ${email},这是 Microsoft Active Directory 所需的格式。其他 LDAP 服务器需要不同的身份验证模板。请咨询您的网络管理员以了解有关 LDAP 服务器的更多信息。

于 2013-11-27T13:00:23.453 回答