我已经编写了用于通过Active Directory服务器验证用户身份的测试代码。我可以使用下面的代码使用绑定dn进行身份验证。

public static void main(String[] args) {

    LdapContext ldapContext = null;

    Hashtable<String, String> env = new Hashtable<String, String>();

    env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.ldap.LdapCtxFactory");
    env.put(Context.PROVIDER_URL, "ldaps://10.121.85.24:636");
    env.put(Context.SECURITY_PROTOCOL, "ssl");
    env.put(Context.SECURITY_PRINCIPAL, "EXTLDAPTEST\batty"); // line 1
    env.put(Context.SECURITY_CREDENTIALS, "mypassword");
    env.put("com.sun.jndi.ldap.read.timeout", Integer.toString(8000));
    env.put("java.naming.ldap.factory.socket", "com.auth.server.TrustAllSSLSocketFactory" );

    try {
        ldapContext = new InitialLdapContext(env, null);
    } catch (Exception e) {
        e.printStackTrace();
    }

    if (ldapContext != null)
    {
        System.out.println("Authenticatied");
    }
}


但是当我将第1行替换为

env.put(Context.SECURITY_PRINCIPAL, "CN=batty,OU=Unsorted,OU=EDN Users,OU=User accounts,DC=extLDAPTest,DC=local"); // line 1


它引发异常


  javax.naming.AuthenticationException:[LDAP:错误代码49-80090308:LdapErr:DSID-0C0903A9,注释:AcceptSecurityContext错误,数据52e,v1db1


AD的树结构为:

java - java-Active Directory-使用基本dn进行身份验证-LMLPHP

尝试使用完整dn进行身份验证时,我做错什么了吗?

编辑1:
当我使用服务帐户获取完整的dn使用时

NamingEnumeration<?> aa = context.list("OU=Unsorted,OU=EDN Users,OU=User accounts,DC=extLDAPTest,DC=local");


我得到以下结果:


  CN = batty,OU =未排序,OU = EDN用户,OU =用户帐户,DC = extLDAPTest,DC =本地


这与我通过的身份验证相同。

编辑2:我使用完整dn的原因是,我将获得服务帐户和子树的dn。现在,同一用户可以存在于不同的子树中。因此,我想从特定的子树进行身份验证。

最佳答案

与LDAP相关的错误代码49是由无效凭据引起的。

但是您可以使用ADSI Edit或AD Explorer之类的应用程序来获取对象的DN。您可以只使用它们来查看有关对象的“ distinguishedName”属性,也可以使用特定于每个应用程序的其他方法。

或使用LDAPExplorerTool2。并找出您想要获取dn的CN。您可以在secDN属性中获取其值:

java - java-Active Directory-使用基本dn进行身份验证-LMLPHP

关于java - java-Active Directory-使用基本dn进行身份验证,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/32969028/

10-10 15:36