问题标签 [ldap]

如何配置 Tomcat 5.5 以针对 Win2003 Activedirectory(LDAP) 进行身份验证

默认tomcat配置需要做哪些更改，至少需要更改server.xml才能获得Win2003服务器的IP？

我的 DBA 告诉我，我的一个应用程序确实使我们的一个 LDAP 服务器陷入困境。我已经多次查看代码，但我看不到任何方法来限制我必须点击 LDAP 的次数。所以现在我决定看看我实际获取数据的方式，看看是否有更好的方法。我没有开发我正在使用的实际数据模型，我不确定 System.DirectoryServices.Protocols 库的全部内容。

如果更熟悉使用 .NET LDAP 提供程序的人能给我一些建议，我将不胜感激。这是我用来在我们的 LDAP 服务器中查找条目的函数：

.NET LDAP 提供程序是否可能有点慢？如果有人有一些关于他们如何在他们的商店中使用 LDAP 的代码示例，那就太好了。

无论如何，提前感谢您的帮助。

谢谢，
厘米

我已阅读 AD 的以下属性，

我试过 DirectoryEntry 和 DirectorySearcher。但它们不包括属性。

我在 vbscript 和 VC 中找到了一些示例来阅读它们。但是我未能使其在 C# 中工作。我错过了一些棘手的事情吗？

编辑：我必须在“Windows Server”上运行它才能使其工作吗？可以从win XP中读取吗？

我已将 Tomcat 配置为使用 LDAP/AD。

如何获取有关登录用户的更多详细信息；用户 ID 由request.getRemoteUser()但不是我需要的全名返回。

如何displayName从 AD 获得实际的“”（全名）？

我正在使用 ldap/activedirectory/tomcat 5.5

我目前有一些代码可以拉下组中的用户列表，然后遍历该组以确定给定帐户是否存在，但似乎应该有一种更简洁（也许更快）的方法来完成此操作。

此代码 (VB.NET) 尝试使用组对象的成员属性，但即使用户是该组的成员，它也会返回 false。谁能看到我在这里做错了什么？

仅供参考：GetNetworkObject 调用仅返回一个 directoryEntry 对象，我已确认为组和用户对象返回了正确的对象。

使用 ext/ldap 我正在尝试将条目添加到 Active Directory。只要我只使用一个结构对象类，一切都会按预期工作，但是一旦我尝试添加带有第二个辅助对象类的条目，服务器就会报告错误：

服务器不愿意执行；00002040：SvcErr：DSID-030F0AA0，问题 5003 (WILL_NOT_PERFORM)，数据 0

以下代码有效：

这不会：

如果我尝试将辅助 objectClass 添加到现有条目，也会发生同样的情况：

对应的错误信息基本相同

服务器不愿意执行；00002040：SvcErr：DSID-030508F8，问题 5003 (WILL_NOT_PERFORM)，数据 0

由于所有其他更新和添加操作都有效，我认为问题必须与 objectClass 属性有关。

由于我对 Active Directory 没有足够的经验（我习惯于 OpenLDAP）：Active Directory 中的 objectClasses 是否存在任何已知问题？我在这里错过了什么吗？是否有任何限制不允许添加domainRelatedObject例如organizationalUnit？这到底是怎么回事;-)？

以防万一您想知道：domainRelatedObject存在于 Active Directory 架构中。

我正在尝试增强我的代码，以确定用户是否是给定 AD 组的成员。它基本上可以工作，除非该组的成员碰巧来自另一个（受信任的）域，因为它被存储为 foreignsecurityprincipal。

鉴于我对要测试的组和要检查的帐户都有一个有效的 DirectoryEntry 对象，我需要一个 DirectorySearcher 过滤器字符串，它允许我确认该帐户在该组中，即使该帐户是外国安全负责人。

（演示问题的 VB.NET 代码示例）

How can I authenticate a user with LDAP using CGI/TCL stack?

Please provide a sample code-snippet if possible.

I am using an Apache Web Server on RHEL 5.0; AD exists on a remote Win2003 server.

我正在尝试使用 Novell (Novell.Directory.Ldap) 发布的库。版本 2.1.10。

到目前为止我所做的：

• 我测试了与应用程序（LdapBrowser）的连接并且它正在工作，所以它不是通信问题。

• 它是在 Mono 中编译的，但我正在使用 Visual Studio。所以用源创建了一个项目。我还引用了 Mono.Security，因为项目依赖于它。

• 我在捕获部分连接的错误中注释了一个调用 (freeWriteSemaphore(semId); )，因为它引发了更多异常。我检查了那个调用做了什么，它只是一个错误跟踪机制。

• 我遵循了 Novell ( http://www.novell.com/coolsolutions/feature/11204.html ) 文档中提供的基本步骤。

  // 创建一个 LdapConnection 实例

  LdapConnection ldapConn=新的 LdapConnection(); ldapConn.SecureSocketLayer = ldapPort == 636;

  //Connect函数将创建一个到服务器的套接字连接

  ldapConn.Connect(ldapHost,ldapPort);

  //Bind函数将用户对象Credentials绑定到服务器

  ldapConn.Bind(userDN,userPasswd);

• 现在它在 Bind() 函数处崩溃。我收到错误 91。

那么，有没有人使用过这个库并看到它有效？如果是这样，你做了什么让它工作，是否需要一些特殊的配置？有没有办法让它在没有 Mono 的 .NET 环境中工作（我可以引用 Mono dll，但我不希望它安装在服务器上）？

（更新）连接在端口 636 上，因此使用 SSL。我检查了 WireShark 的通信，并与我从 LDAP 浏览器获得的信息进行了比较。我已经看到传输 SSL 证书的步骤不是由 LDAP 库完成的。那么，让它做它应该做的最好的方法是什么？

（更新）我检查了文档，它表明它不支持 SSL。http://www.novell.com/coolsolutions/feature/11204.html

使用 LdapConnection.Bind() 对 LDAP 服务器进行身份验证。我们仅支持明文身份验证。SSL/TLS 支持尚未添加。

但是文档的日期是 2004 年，从那时起，已经进行了许多更新。并且库中有一个参数来定义连接是否使用 SSL。所以现在我很困惑。

（更新）找到了更新的文档： http: //developer.novell.com/documentation//ldapcsharp/index.html ?page=/documentation//ldapcsharp/cnet/data/bqwa5p0.html 。建立 SSL 连接的方式是在服务器上注册证书。问题是我所做的没有绑定到特定的 Novell 服务器，因此必须动态获取证书。

我有一个使用 Java 对 Active Directory 进行身份验证的简单任务。只是验证凭据，没有别的。假设我的域是“fun.xyz.tld”，OU 路径未知，用户名/密码是 testu/testp。

我知道有一些 Java 库可以简化这项任务，但我没有成功实现它们。我发现的大多数示例都是针对 LDAP，而不是专门针对 Active Directory。发出 LDAP 请求意味着在其中发送一个 OU 路径，而我没有。此外，发出 LDAP 请求的应用程序应该已经绑定到 Active Directory 才能访问它……不安全，因为凭据必须存储在可发现的某个地方。如果可能的话，我想要一个带有测试凭据的测试绑定——这意味着该帐户是有效的。

最后，如果可能的话，有没有办法使这种身份验证机制加密？我知道 AD 使用 Kerberos，但不确定 Java 的 LDAP 方法是否可以。

有没有人有工作代码的例子？谢谢。