DirContext初始化过程分析

最新推荐文章于 2024-08-20 18:21:04 发布
原创 最新推荐文章于 2024-08-20 18:21:04 发布 · 5.7k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文针对LDAP认证失败问题,从初始化过程入手,详细分析了使用Java JNDI API时出现AuthenticationException异常的原因。通过逐步调试发现,问题根源在于principal设置不正确。
这篇博文的原因

主要是因为犯了一个很愚蠢的错误,在实例化DirContext的时候报了AuthenticationException,错误码为49,我很疑惑,同样的方式通过ldapBrowser可以连接,在JNDI却不能连接了,同样尝试了Java的Apache Directory Studio插件也是不能连接,但是匿名连接却连接得上。基于这个原因便开始了探究初始化过程的分析,不过最后的结论却是——只是我的principal错了而已,我一直以为是我的credentials的问题。为什么同样用cn=Manager通过LDAPBrowser能访问,而通过JNDI或者ADS插件却不能访问呢?理由(大概)是访问的时候完整的用户dn应该都是cn=Manager,dc=maxcrc,dc=com,这个你定义在slap.conf的rootDn,而为什么ldapBrowser能够通过cn=Manager来访问呢?那是因为它有进行了一些拼接,因此我们总以为A是这样所以B应该是这样的想法有时候不一定通用,特别是当它们属于两个不同的项目的时候。虽然这样一来分析源码的意义不存在了,但是还是把分析过程贴出来和大家分享分享,过程也是比较简略,而且针对一种情况分析。

分析过程

该分析过程建立于以下基础:

        evn.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.ldap.LdapCtxFactory");//导入提供者
        evn.put(Context.PROVIDER_URL, "ldap://localhost/dc=maxcrc,dc=com");//服务器地址
        evn.put(Context.SECURITY_AUTHENTICATION, "simple");//验证方式
        evn.put(Context.SECURITY_PRINCIPAL, "cn=Manager,dc=maxcrc,dc=com");//账户
        evn.put(Context.SECURITY_CREDENTIALS, "chouxiaohai");//证书

首先在InitialDirContext中调用父类InitialContext的构造函数,evn进行一些处理之后调用init方法,init方法如下:

    protected void init(Hashtable<?,?> environment)
        throws NamingException
    {
        myProps = (Hashtable<Object,Object>)
                ResourceManager.getInitialEnvironment(environment);

        if (myProps.get(Context.INITIAL_CONTEXT_FACTORY) != null) {
            // user has specified initial context factory; try to get it
            getDefaultInitCtx();
        }
    }

在getDefaultInitCtx调用NamingManager的getInitialContext,我们应该认为这才是制造DirContext的工厂。在这里进行了如下操作:


                ...

//获取工厂类名
String className = env != null ?
                (String)env.get(Context.INITIAL_CONTEXT_FACTORY) : null;

                ...

//获得工厂类实例
factory = (InitialContextFactory)
                    helper.loadClass(className).newInstance();

                ...

//通过工厂类构建上下文
return factory.getInitialContext(env);

在getInitialContext中主要操作如下:

                ...
//获取ldapURL             
String str = paramHashtable != null ? (String)paramHashtable.get("java.naming.provider.url") : null;

                ...
//切割成string数组
arrayOfString = LdapURL.fromList(str);

                ...
//获取LdapCtx实例
return getLdapCtxInstance(arrayOfString, paramHashtable);

getLdapCtxInstance如下:

{           
    if ((paramObject instanceof String))
        return getUsingURL((String)paramObject, paramHashtable);
    if ((paramObject instanceof String[])) {
        return getUsingURLs((String[])paramObject, paramHashtable);
}

因为我们是数组,所以这里调用的是第二个函数:

                ...

for (int i = 0; i < paramArrayOfString.length; i++) {
    try {
        return getUsingURL(paramArrayOfString[i], paramHashtable);
    } catch ...

说实话我也不明白他为什么这么操作,它被URL切割成数组后实际上也只有一个值,因为它是根据“ ”切割的,而这里即使有多个值它也只处理一个值,讲道理我实在不明白,是为了代码健壮性?
getUsingURL这个方法名我们可以理解成通过URL获取目录服务上下文,现在进入它的方法体:

                ...
localObject = new LdapCtx(str1, str2, i, paramHashtable, localLdapURL.useSsl());
                ...

它主要是调用了这个方法,其中str1是DN,str2是host,i是port,paramHashtable是环境变量,不过已经经过了一些操作,useSsl返回true或false,它表示是否通过ssl验证,我们这里只是简单验证,因此为false.
LdapCtx的构造函数如下定义:

                ...
if ("ssl".equals(this.envprops.get("java.naming.security.protocol"))) {
    this.useSsl = true;
}
                ...

我们可以看到,假如我们通过ssl验证的话,那我们给环境变量加上java.naming.security.protocol这个属性,并设值为ssl。此外在这里进行了设值操作,并且调用initEvn把所有的值设进去,initEvn如下:

private void initEnv() throws NamingException {
/* 2330 */     if (this.envprops == null)
/*      */     {
/* 2332 */       setReferralMode(null, false);
/* 2333 */       return;
/*      */     }
/*      */     
/*      */ 
/* 2337 */     setBatchSize((String)this.envprops.get("java.naming.batchsize"));
/*      */     
/*      */ 
/* 2340 */     setRefSeparator((String)this.envprops.get("java.naming.ldap.ref.separator"));
/*      */     
/*      */ 
/* 2343 */     setDeleteRDN((String)this.envprops.get("java.naming.ldap.deleteRDN"));
/*      */     
/*      */ 
/* 2346 */     setTypesOnly((String)this.envprops.get("java.naming.ldap.typesOnly"));
/*      */     
/*      */ 
/* 2349 */     setDerefAliases((String)this.envprops.get("java.naming.ldap.derefAliases"));
/*      */     
/*      */ 
/* 2352 */     setReferralLimit((String)this.envprops.get("java.naming.ldap.referral.limit"));
/*      */     
/* 2354 */     setBinaryAttributes((String)this.envprops.get("java.naming.ldap.attributes.binary"));
/*      */     
/* 2356 */     this.bindCtls = cloneControls((Control[])this.envprops.get("java.naming.ldap.control.connect"));
/*      */     
/*      */ 
/* 2359 */     setReferralMode((String)this.envprops.get("java.naming.referral"), false);
/*      */     
/*      */ 
/* 2362 */     setConnectTimeout((String)this.envprops.get("com.sun.jndi.ldap.connect.timeout"));
/*      */     
/*      */ 
/* 2365 */     setReadTimeout((String)this.envprops.get("com.sun.jndi.ldap.read.timeout"));
/*      */     
/*      */ 
/*      */ 
/* 2369 */     setWaitForReply((String)this.envprops.get("com.sun.jndi.ldap.search.waitForReply"));
/*      */     
/*      */ 
/* 2372 */     setReplyQueueSize((String)this.envprops.get("com.sun.jndi.ldap.search.replyQueueSize"));
/*      */   }

之后调用connect方法,我们可以认定,认证操作就在这里面了。让我们进去看看:


                ...

str1 = (String)this.envprops.get("java.naming.security.principal");
localObject1 = this.envprops.get("java.naming.security.credentials");
str5 = (String)this.envprops.get("java.naming.ldap.version");

                ...

//实例化该对象
this.clnt = LdapClient.getInstance(bool1, this.hostname, this.port_number, str3, this.connectTimeout, this.readTimeout, this.trace, i, str4, this.bindCtls, str2, str1, localObject1, this.envprops);

                ...

//认证操作
localObject2 = this.clnt.authenticate(bool2, str1, localObject1, i, str4, this.bindCtls, this.envprops);

                ...

//认证失败的错误是从这里报的,但它并不是认证操作,而是根据上面认证操作返回的状态码报告错误而已。
//至于它为什么这么做,是因为即使认证失败,它还有后续的操作要做,比如关闭一个连接。
processReturnCode((LdapResult)localObject2);

                ...

可以看到,读证书的时候它并不是读取成一个字符串,而是读取成一个object类型,我们的认证失败可能根源于这里。那么接下来我们接近目的了,我们看到它的认证操作了,进去看看。先说明一下参数波bool2是clnt是否为空,这里必然为false,str1是登陆用户,localObject是证书,i是端口,str4是验证方式,我们指定为simple,事实上默认值也是这个值,后面两个一个就是环境变量的hashTable另一个我也布吉岛是什么。
这里对不同的验证方式进行了不同的操作,我们这里因为是采用simple方式验证,因此走的是下面这条流程:


                ...

/*      */       else if (paramString2.equalsIgnoreCase("simple"))
/*      */       {
/*  211 */         byte[] arrayOfByte = null;
/*      */         try {
                     //编码转换
/*  213 */           arrayOfByte = encodePassword(paramObject, this.isLdapv3);
                     //对ldap进行绑定
/*  214 */           localLdapResult = ldapBind(paramString1, arrayOfByte, paramArrayOfControl, null, false);
/*  215 */           if (localLdapResult.status == 0)
/*  216 */             this.conn.setBound();
/*      */         } catch (IOException localIOException4) {
/*      */           int j;
/*  219 */           localCommunicationException3 = new CommunicationException("simple bind failed: " + this.conn.host + ":" + this.conn.port);
/*      */           
/*      */ 
/*  222 */           localCommunicationException3.setRootCause(localIOException4);
/*  223 */           throw localCommunicationException3;
/*      */         }
/*      */         finally
/*      */         {
/*  227 */           if ((arrayOfByte != paramObject) && (arrayOfByte != null)) {
/*  228 */             for (int m = 0; m < arrayOfByte.length; m++) {
/*  229 */               arrayOfByte[m] = 0;
/*      */             }
/*      */           }
/*      */         }
/*  233 */       }

encodePassword里面写了这些东西:

/*      */   private static byte[] encodePassword(Object paramObject, boolean paramBoolean)
/*      */     throws IOException
/*      */   {
/*  412 */     if ((paramObject instanceof char[])) {
/*  413 */       paramObject = new String((char[])paramObject);
/*      */     }
/*      */     
/*  416 */     if ((paramObject instanceof String)) {
/*  417 */       if (paramBoolean) {
/*  418 */         return ((String)paramObject).getBytes("UTF8");
/*      */       }
/*  420 */       return ((String)paramObject).getBytes("8859_1");
/*      */     }
/*      */     
/*  423 */     return (byte[])paramObject;
/*      */   }

它是判断你是不是v3版本的ldap,v3的字符编码和v2的不一样,因此进行了不同的编码转化,那么我们可以猜测,认证失败可能是因为版本的问题,等会儿如果我们还是找不到关键的问题所在的话我们应该试一下两个版本。

到这里解读结束,对于认证的解读有些简略,说实话这部分我也很混乱,大致的过程似乎是通过我们给定的账号去请求一个请求信息,然后看它怎么回应,如果成功就会回应一个ldap操作对象给我们,大概是这样吧。如果不去细究认证的细节的话,我们仅仅需要知道它尝试去认证了,之后获得一个保存结果的对象,在processReturnCode这个方法里面对这个状态码进行判断,认证成功状态码为0,我们这里认证失败,而且是用户名不正确则是抛出49的错误,如果认证失败则在这里负责把之前开启的资源关闭。其实如果我好好去看JNDI的文档或者好好细读ADS的文档大概就没这么多事了,懒人真的屎尿多。

Java命名和目录接口——JNDI
seaboat——a free boat on the sea.(公众号:远洋号)
08-08 4427
JNDI即Java命名和目录接口(JavaNaming and Directory Interface),它属于J2EE规范范畴,是J2EE的核心技术之一,提供了一组接口、类和关于命名空间的概念。JDNI是provider-based技术,它暴露一个API和一个服务供应接口(SPI)。它将名称和对象联系起来,使我们可以用名称访问对象。我们可以把JNDI简单地看成是里面封装了一个name到实体对象的
Java反序列化和JNDI注入漏洞案例实战
悦分享
08-04 1350
CORBA全称(Common ObjectRequest Broker Architecture)也就是公共对象请求代理体系结构,是OMG(对象管理组织,一个非盈利性的计算机行业标准协会)制定的一种标准的面向对象应用程序体系规范。其提出是为了解决不同应用程序间的通信,曾是分布式计算的主流技术。CORBA标准主要分为三个部分,IDL(接口语言)、ORB(对象请求代理)、IIOP(ORB之间的操作协议)。其结构主要分为三部分:naming service、client side、servant side。...
Ldap api介绍
stoneapple1122的专栏
12-08 4693
<br /> <br /> <br />从JDK5.0开始,对LDAP协议的数据访问操作就被集成在javax的扩展API包中,并随同JDK一并发布,这一章节,我们主要介绍API包中的类信息。 <br />javax.naming.directory 包的结构<br /><br /><br />常用API解析<br /><br />javax.naming.directory.InitialDirContext初始化目录服务上下文类<br /> 该类是LDAP数据内容的操作工具类,通过该类可以执行绑定L
Ldap Api
seanzed的博客
08-26 1261
Java6.0 API for LDAP概述  从JDK5.0开始,对LDAP协议的数据访问操作就被集成在javax的扩展API包中,并随同JDK一并发布,这一章节,我们主要介绍API包中的类信息。  javax.naming.directory 包的结构  常用API解析  javax.naming.directory.InitialDirContext初始化目录服务上
LDAP对用户名,密码进行域验证
scyxm0426的专栏
11-15 8476
package com.test; import java.util.Hashtable; import javax.naming.AuthenticationException; import javax.naming.Context; import javax.naming.directory.DirContext; import javax.naming.directory.Init
判断context是否存活
秋名山小尼玛的博客
12-08 3956
主要是android.view.WindowManager$BadTokenException 增加调用的保护时判断context是否存活。
JNDI全面总结
JavaCrazyer的ItEye(codewu.com)技术博客
09-09 597
原理:         在DataSource中事先建立多个数据库连接,保存在数据库连接池中。当程序访问数据库时,只用从连接池中取空闲状态的数据库连接即可,访问结束,销毁资源,数据库连接重新回到连接池,这与每次去直接访问数据库相比,会节省大量时间和资源。         JNDI( Java Naming and Directory Interface ),是Java平台的一个标准扩展,提供了...
Tomcat源码解析——启动过程分析
jimoluoxue2016的博客
12-18 407
最近面试一些1~3年的开发人员,问他们tomcat的基础架构发现都是一脸懵逼,这里开贴大概写一下tomcat的整体架构以及启动流程,版本基于7.0.85,后续会不断对文章进行更新。 一、tomcat基础架构 上个图,这张图算是说的比较明白的。 大家可以去翻一下server.xml,精简后会发现如下结构: &lt;?xml version='1.0' encoding='utf-8'?...
【JNDI在企业中的关键角色】:分析复杂系统中JNDI的重要性
它的出现,极大地简化了应用程序对不同后端资源的查找与访问过程。 ## 1.1 JNDI的定义与起源 JNDI是Java平台企业版(Java EE)的一个核心API,它抽象化了数据源、消息服务、企业级Java Beans等资源的查找细节。...
Java序列化与JNDI注入漏洞案例实战
悦分享
08-04 639
序列化主要是提供了一种机制,方便数据在网络之间进行传输,或者独立于程序存储在本地磁盘。序列化的使用场景很广,比如服务器收到请求参数,一种处理方式是一个个解析数据,自己构建处理数据。还有一种就是直接将数据反序列化为对象。当要把对象存储到缓存时,我们可以自己解析对象生成数据保存到缓存,取出时也自己处理数据转换为对象,也可以直接借助语言的序列化机制帮我们将对象序列化为数据存储起来,从缓存里获取数据后直接反序列化转为对象。在这些场景里,很明显序列化机制能极大改善我们的编程体验。Java 序列化基础。...
Java LDAP操作
热门推荐
liumm0000的专栏
09-01 2万+
命名和目录操作 您可以使用JNDI执行以下操作:读取操作和更新命名空间的操作。本节介绍这两个操作: l         查询对象 l         列出上下文内容 l         添加、覆盖和移除绑定 l         重命名对象 l         创建和销毁子上下文 配置 在命名和目录服务中执行操作之前,需要得到初始化上下文――命名空间的
java ldap 父_Java LDAP操作
weixin_28730665的博客
02-13 222
命名和目录操作您可以使用JNDI执行以下操作:读取操作和更新命名空间的操作。本节介绍这两个操作:l查询对象l列出上下文内容l添加、覆盖和移除绑定l重命名对象l创建和销毁子上下文配置在命名和目录服务中执行操作之前,需要得到初始化上下文――命名空间的开始点。因为命名和目录服务的所有方法都相对于一些上下文执行。为了得到初始化上下文,必须执行以下步骤:1.选择想要访问的访问提供者。2.指定需要的初始化上下...
Spring LDAP 实践教程(一)
龙哥盟
08-20 1296
原文:Practical Spring LDAP 协议:CC BY-NC-SA 4.0 零、简介 实用的 Spring LDAP 提供了 Spring LDAP 的完整覆盖,这是一个旨在减轻 LDAP 编程之苦的框架。这本书首先解释 LDAP 的基本概念,并向读者展示如何设置开发环境。然后深入到 Spring LDAP,分析它要解决的问题。在那之后,这本书将重点放在单元测试和集成测试 LDAP 代码的实践方面。接下来是对 LDAP 控件和新的 Spring LDAP 1.3.1 特性的深入研究,比如对象
JNDI用法详解
li_w_ch的博客
11-25 8557
JNDI全称(Java Naming and Directory Interface),是java命名和目录接口。它是一个应用程序设计的API,为开发人员提供了查找和访问各种命名和目录服务的通用、统一的接口,类似JDBC都是构建在抽象层上。 1、命名的概念与应用 JNDI中的命名(Naming),就是将Java对象以某个名称的形式绑定(binding)到一个容器环境(Context)中,以后调用容器环境到JNDI容器环境(Context)的查找(lookup)方法又可以查找出某个名称所绑定的Java.
Java 中文官方教程 2022 版(四十八)
龙哥盟
04-12 458
原文:docs.oracle.com/javase/tutorial/reallybigindex.html 关闭 原文:docs.oracle.com/javase/tutorial/jndi/ldap/close.html 正常的垃圾回收会在不再使用时删除Context实例。被垃圾回收的Context实例使用的连接将自动关闭。因此,您无需显式关闭连接。然而,网络连接是有限资源,对于某些程序,您可能希望控制它们的增殖和使用。本节包含如何关闭连接以及如何在服务器关闭连接时收到通知的信息。 显式关闭
ldap java api
iteye_16582的博客
11-11 441
从JDK5.0开始,对LDAP协议的数据访问操作就被集成在javax的扩展API包中,并随同JDK一并发布,这一章节,我们主要介绍API包中的类信息。javax.naming.directory 包的结构常用API解析javax.naming.directory.InitialDirContext初始化目录服务上下文类该类是LDAP数据内容的操作工具类,通过该类可以执行绑定LDAP服务器、新...
JNDI 命名和目录操作
ml
08-13 2539
在本文中描述了以下操作: 查找对象 列出Context的内容 添加,覆盖,去除绑定 重命名对象 创建和销毁subcontext
SpringLDAP-Reference(中文文档)(五)
nickms的专栏
09-07 1301
<br />第五章 DirContext配制<br />5.1 自定义DirContext 前后处理<br /> 某些情况下,在搜索前后要调用DirContext进行操作,进行这种操作的接口为DirContextProcessor<br /> <br /> publicinterfaceDirContextProcessor{<br /> publicvoidpreProcess(DirContextctx)throwsNamingException;<br /> publicvoidpostProcess
ldap初始化代码
最新发布
04-29
<think>好的,用户需要关于LDAP初始化的代码示例或实现方法。首先,我需要确认LDAP的不同语言实现,常见的有Python、Java和PHP。用户可能对其中一种或多种语言感兴趣,所以最好覆盖这几个常用语言。 接下来,针对每个语言,回忆相关的库和初始化步骤。比如Python常用ldap3库,Java使用JNDI,PHP则是内置的ldap_connect函数。需要确保代码示例的正确性,语法正确,并且包含必要的步骤,如设置服务器地址、端口、绑定凭据等。 然后,检查是否需要处理安全连接,比如使用LDAPS或STARTTLS。在示例中加入相关参数,比如在Python中使用use_ssl=True,Java中设置环境属性,PHP中指定端口为636并启用TLS。这些细节能帮助用户避免常见的安全配置错误。 此外,用户可能关心错误处理和最佳实践,所以在代码中加入异常处理部分,比如try-catch块,说明可能的异常类型,这样用户知道如何调试和增强代码的健壮性。 还要考虑生成相关问题,比如LDAP初始化参数有哪些注意事项,如何配置安全连接,常见错误及解决方法。这些问题能够帮助用户进一步了解相关主题,解决可能遇到的问题。 最后,确保回答结构清晰,分语言说明,每个部分有代码示例和解释,引用来源如RFC文档或官方库文档,以增加可信度。同时检查是否符合用户之前的格式要求,比如使用中文,正确应用LaTeX格式(虽然这里可能用不上数学公式,但需留意),以及引用标识的位置。</think>### LDAP初始化实现方法 LDAP初始化通常包含服务器连接、身份验证、参数配置三个核心步骤,以下是不同语言的实现示例: #### Python示例(使用ldap3库) ```python from ldap3 import Server, Connection, ALL # 创建Server对象 server = Server('ldap://example.com:389', get_info=ALL) # 初始化连接(管理员绑定) conn = Connection(server, user='cn=admin,dc=example,dc=com', password='admin_password', auto_bind=True) # 执行搜索操作 conn.search('dc=example,dc=com', '(objectclass=person)') print(conn.entries) # 输出查询结果 ``` #### Java示例(使用JNDI) ```java import javax.naming.Context; import javax.naming.directory.InitialDirContext; import java.util.Hashtable; Hashtable<String, String> env = new Hashtable<>(); env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.ldap.LdapCtxFactory"); env.put(Context.PROVIDER_URL, "ldap://example.com:389"); env.put(Context.SECURITY_AUTHENTICATION, "simple"); env.put(Context.SECURITY_PRINCIPAL, "cn=admin,dc=example,dc=com"); env.put(Context.SECURITY_CREDENTIALS, "admin_password"); DirContext ctx = new InitialDirContext(env); // 初始化连接[^1] ``` #### PHP示例 ```php $ldapconn = ldap_connect("ldap://example.com") or die("无法连接LDAP服务器"); // 设置协议版本 ldap_set_option($ldapconn, LDAP_OPT_PROTOCOL_VERSION, 3); // 绑定管理员账号 $ldapbind = ldap_bind($ldapconn, "cn=admin,dc=example,dc=com", "admin_password"); if ($ldapbind) { // 执行查询操作 $result = ldap_search($ldapconn, "dc=example,dc=com", "(sn=*)"); $entries = ldap_get_entries($ldapconn, $result); } ``` ### 关键参数说明 1. **协议版本**:现代LDAP服务建议使用v3协议 2. **连接模式**: - 明文连接:`ldap://` + 389端口 - 安全连接:`ldaps://` + 636端口 或 STARTTLS[^2] 3. **绑定凭证**:需要DN格式的用户名(如`cn=admin,dc=example,dc=com`)
评论 5
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值