1

我正在尝试从 MS AD 检索一些信息:特定分支的成员、部门名称、职位

我使用了很多示例,包括Apache Directory LDAP APIUnboundID,但我无法获得与 AD 的连接。

RDN:

C:\Users\Aleksey> whoami /fqdn
       CN=my common name here,
       OU=my organization unit here,
       OU=organization unit 2 here,
       OU=organization unit 1 here,
       OU=main organization unit here,
       DC=.my domain here,
       DC=domain 2 here,
       DC=main domain here

对于搜索,我使用以下过滤器:

public class LdapRetriever {
    public static void main (String[] args) {
        Hashtable env = new Hashtable();

        env.put(Context.INITIAL_CONTEXT_FACTORY, 
            "com.sun.jndi.ldap.LdapCtxFactory");
        env.put(Context.PROVIDER_URL, "ldap://" + 
            "ip of domain controller here" + ":389");
        env.put(Context.SECURITY_AUTHENTICATION, "simple");
        // Also I try to use the following SECURITY_PRINCIPAL: 
        // my login only, my domain\ my login
        env.put(Context.SECURITY_PRINCIPAL, "my login here" + "@" + 
            "my domain here.domain 2 here.main domain here");
        env.put(Context.SECURITY_CREDENTIALS, "my password here");

        try {           
            DirContext ctx = new InitialLdapContext(env,null);
            String returnedAtts[]={"sn","title","department","givenName"};

            SearchControls searchCtls = new SearchControls();  
            searchCtls.setReturningAttributes(returnedAtts);  
            searchCtls.setSearchScope(SearchControls.SUBTREE_SCOPE);

            String searchFilter = "(&(objectClass=user)(cn=*))";
            String searchBase = 
                "DC=my domain here,DC=domain 2 here,DC=main domain here";

            NamingEnumeration answer = ctx.search(searchBase, 
                searchFilter, searchCtls);
            ...

当我使用来自的数据创建目录上下文时,env出现异常:

Exception in thread "main" javax.naming.AuthenticationException: 
[LDAP: error code 49 - 80090308: LdapErr: DSID-0C090334, comment:
AcceptSecurityContext error, data 531, vece

如果未指定密码,则会出现以下异常:

Problem searching directory: 
javax.naming.NamingException:[LDAP:error code 1 - 00000000: 
LdapErr: DSID-0C090627, comment: 
In order to perform this operation a successful bind must be completed 
on the connection., data 0, vece]; remaining name 
'DC=my domain here,DC=domain 2 here,DC=main domain here'

我已经确认我的帐户没有被锁定。

根据常见活动目录 LDAP 绑定错误列表

525​  user not found ​
52e​  invalid credentials ​
530​  not permitted to logon at this time​
531​  not permitted to logon at this workstation​
532​  password expired ​
533​  account disabled ​
701​  account expired ​
773​  user must reset password ​
775​  user account locked

就我而言,这意味着:“不允许在此工作站登录”,但使用相同的凭据我可以登录到域。

可能是什么原因?

4

3 回答 3

4

错误代码 531 很可能与 AD 的配置有关。在某些情况下,用户只能从一个工作站登录,例如您的工作电脑。
这是在用户的userWorkstations字段中配置的。
当您无法使用 RDP 登录您的 AD 时,您需要您的 AD 管理员检查您的帐户是否有此字段,以及 AD 服务器是否包含在您的userWorkstations中或该字段已完全删除。

于 2013-09-12T14:53:13.673 回答
0

我的项目使用 ldap 身份验证。我已经将您的来源与我的 impl 进行了比较。除了 SECURITY_PRINCIPAL 参数之外,它们是相同的。

这个对我有用:

String login = "login";
String base = "ou=People,dc=example,dc=com";
String dn = "uid=" + login + "," + base;
env.put( Context.SECURITY_PRINCIPAL, dn );
于 2013-09-12T14:36:07.643 回答
0

错误数据 531,表示您无法从该工作站登录。错误数据 525,表示该条目不存在。

您可以通过发出以下命令从 DC 确定用户的 FDN:{ dsquery user -samid jim

"CN=Jim Willeke,CN=Users,DC=mad,DC=willeke,DC=com" }

我们有一些适用于 AD 的JNDI 示例(假设您知道正确的参数)

您可能会发现使用 LDAP 浏览器并首先使用它进行身份验证会更容易,然后您就会知道哪些参数会起作用。我们喜欢Apache Studio

于 2013-09-13T08:05:19.903 回答