java通过ldap同步ad域组织架构、人员信息

已于 2022-12-02 11:42:37 修改
阅读量7.6k 收藏 27
点赞数 2
分类专栏: 技术 文章标签: java 架构 开发语言
于 2021-12-03 14:16:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_35981356/article/details/121694693
版权
本文详细介绍了在Java开发中如何通过LDAP与AD域进行交互,包括使用SSL连接636端口,处理objectGUID的转换,解决部门查询和创建的问题,以及分页查询超过1000条记录的策略。此外,还提到了启用端点识别算法的注意事项,以及在IDEA中配置相关系统属性的步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

踩坑点:

  1. 普通操作389端口就可以,如果需要操作用户密码等,需要ssl链接,636端口,可以用证书方式,也可以用免证书方式,免证书也需要在ad域服务器生成对应的证书,参考:AD域证书申请,导入Java密钥库,实现ldap修改AD用户密码_寒沨的博客-优快云博客_ad证书导出
  2. objectGUID是ad域里信息的唯一id,但是存储时16进制,需要进行转换,转换方式见下方代码
  3. 根据objectGUID进行查询的时候,也需要进行转换
  4. 部门查询时,如果查询的上级部门也不存在时,会报错
  5. 部门新增时,如果部门名称有'/',用public DirContext createSubcontext(String name, Attributes attrs);这个方法创建,会创建失败,可以用CompositeName自动转义,public DirContext createSubcontext(Name name, Attributes attrs);这个方法进行创建就可以 
    1. //用string类型创建部门的时候,有特殊字符‘/’会创建失败,借用CompositeName可以自动转义‘/’
Name composite = new CompositeName().add(distinguishedName);

//添加
ldapContext.createSubcontext(composite, attributes);
  6. 用ldapContext.search(searchBase, searchFilter,searchCtls)查询列表时,默认的分页列表最大1000条记录,如果要查询超过1000条数据,可以通过更改域的分页限制实现;通过env.put(Context.BATCHSIZE,"10000");也可以设置默认的查询条数,但是仅限于代码里设置的查询条数小于域里设置的条数
    1. 1.在“开始”——>“运行”——>输入“ ntdsutil”——>回车;

2.输入:“ldap policies”,回车;

3.输入:“connections”,回车;

4.输入:“connect to domain yourDomainName”,例如(connect to domain baidu.com)

5.连接提示出现后,输入:“quit”,回车;

6.输入:“show values”,确认当前的最大返回数;(默认是1000)

7.输入:“set MaxPageSize to 10000”,将最大返回数改为10000。(最大返回数可以根据实际情况自行定义)。

8.再度输入:“show values”,确认当前的最大返回数(显示为:1000(10000))。

9.输入“commit changes”以确认修改。

10.
再次输入:“show values”,确认当前的最大返回数为10000。

11.
输入“quit”,退出设置状态;

12.
输入“quit”,退出当前命令
  1. 用636端口ssl链接时很关键的一步,启动类上加,不然启动会报错javax.naming.CommunicationException: simple bind failed 
    //ldap ssl链接很关键的
System.setProperty("com.sun.jndi.ldap.object.disableEndpointIdentification","true");
    1. 原因:为了提高LDAP(secureldap over TLS)连接的健壮性,默认情况下启用了端点识别算法。在某些情况下,以前能够成功连接到LDAPS服务器的某些应用程序可能不再能够这样做。如果这些应用程序认为合适,可以使用新的系统属性禁用端点标识:com.sun.jndi.ldap.object.disableEndpointIdentification。定义此系统属性(或将其设置为true)以禁用端点识别算法
    2. 本地idea启动的时候,idea vm options里设置”-Dcom.sun.jndi.ldap.object.disableEndpointIdentification=true“

代码:

  1. 登录 
     /**
     * ssl方式免证书登录
     * System.setProperty("com.sun.jndi.ldap.object.disableEndpointIdentification","true");这句很关键,将他放在启动类的main方法李
     * @return
     */
    private LdapContext adLogin() {

        LdapContext ldapContext = null;
        Hashtable<String, Object> env = new Hashtable<String, Object>();
        env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.ldap.LdapCtxFactory");
        //验证类型
        env.put(Context.SECURITY_AUTHENTICATION, "simple");
        //用户名称,cn,ou,dc 分别:用户,组,域
        env.put(Context.SECURITY_PRINCIPAL, "username");
        //用户密码 cn 的密码
        env.put(Context.SECURITY_CREDENTIALS, "password");
        //url 格式:协议://ip:端口/组,域   ,直接连接到域或者组上面
        env.put(Context.PROVIDER_URL, "ldapurl");
        //协议
        env.put(Context.SECURITY_PROTOCOL, "ssl");
        env.put("java.naming.ldap.factory.socket", "DummySSLSocketFactory类全路径");
        //objectGUID 转换,很关键
        env.put("java.naming.ldap.attributes.binary","objectGUID");
        try {
            Control[] so
最低0.47元/天 解锁文章
通过Ldap实现人事系统组织人事和AD同步
JayZhou的博客
09-29 1234
项目需求: 同步人事系统的组织架构-对应AD的OU树 同步人事系统的员工-对应AD的用户 创建OU 名字不能重复,需要父级路径(parentOrganizeUnit)以及新ou的名字(name),如果最父级则上级路径为节点 DirectoryEntry CreateOrganizeUnit(string OrgId,string name, string parentOrganizeUnit,int Id,ADInfo ad) 更改OU名称 需要旧的OU路径(oldUnit)以及“OU=新OUN.
java获取ad用户信息_JAVA 通过LDAP获取AD用户及组织信息
weixin_31281613的博客
02-13 1312
因为工作需求近期做过一个从客户AD获取数据实现单点登录的功能,在此整理分享。前提:用户可能有很多系统的情况下,为了方便账号的统一管理使用AD验证登录,所以不需要我们的系统登录,就需要获取用户的AD组织和用户信息,实现认证和单点登录。LDAP: LDAP是轻量目录访问协议AD:微软基于模式的集中化管理1.常规的AD登陆验证LdapContext dc = null;Hashtable ...
java ldap组织架构信息定时同步AD
最新发布
weixin_43164559的博客
06-07 3640
java ldap 连接 AD 同步组织架构流程及ldap接口使用详情
JAVA 通过LDAP获取AD用户及组织信息
weixin_30407099的博客
04-11 1893
因为工作需求近期做过一个从客户AD获取数据实现单点登录的功能,在此整理分享。 前提:用户可能有很多系统的情况下,为了方便账号的统一管理使用AD验证登录,所以不需要我们的系统登录,就需要获取用户的AD组织和用户信息,实现认证和单点登录。 LDAP: LDAP是轻量目录访问协议 AD:微软基于模式的集中化管理 1.常规的AD登陆验证 LdapContext d...
Mysql同步ad账号信息_关于AD 同步组织架构信息 问题
weixin_39907922的博客
02-08 318
问题描述关于实时同步 AD组织架构信息问题出现的环境背景及自己尝试过哪些方法我尝试过一些网上的方案,但是并不能得到满意的效果。相关代码// 请把代码文本粘贴到下方(请勿用图片代替代码)package com.joyce.itext.main;import java.util.Properties;import javax.naming.Context;import javax.naming.N...
ldap组织机构同步
09-22
完整的LDAP同步组织机构用户模块,可通用
Springboot-LDAP针对AD控做用户和组织进行同步.zip
06-02
总之,通过Spring Boot 2.x和LDAP的集成,我们可以构建出高效、安全的企业级应用,实现与AD控制器的无缝对接,从而方便地管理和同步用户及组织信息。这对于大型企业来说,是提高IT效率、保证数据安全的关键步骤。
基于JAVALDAP人员信息操作详解
Serleen的博客
04-24 1777
本篇文章面向的群体主要为已经有LDAP的环境并且已经完成部署的开发人猿,不会过多阐述LDAP的机制、原理等 当我们成功连接到LDAP的时候 此时我们一定拥有以下两个条件 1.dc=你的公司名,dc=com //个人理解,这个代表LDAP名,叫什么并不重要 2.一个manager账号 //算是一个管理员用户 我们使用ldap工具先手动创建一个ou (类似与window系统里的文件夹) ...
java获取ldap员工、组织信息
huahuo1315195的专栏
10-23 3546
spring中配置如下:   ldap://192.168.35.161:389" />                                                        objectGUID objectSid
java ad操作
08-19
javaad的一些操作,里面的一些ip要进行一些修改就能用
JAVAAD登录和用户同步LDAP AD登录,用户同步
qq_39969506的博客
07-29 4246
关于AD的介绍 ,就百度一搜一大把啦; 这里主要分享一下拿来就用的java代码; 公用私有方法:连接到AD private LdapContext ldapContext = null; private LdapConfig ldapConfig = null; private LdapContext ldapConnect() { LdapConfig config = getLdapConfig(); //此处是ad的连接配置信息 String usern
JAVALDAP读取微软AD里面的用户名组织架构信息
热门推荐
顾传龙
06-05 1万+
package com.app.frame.ldap; import java.util.Enumeration; import java.util.Hashtable; import javax.naming.Context; import javax.naming.NamingEnumeration; import javax.naming.NamingException; imp
mysql ldap 同步_将Ldap组织结构及用户信息同步到MySQL,用Spring Boot项目操作
weixin_39881760的博客
01-19 1047
从上一篇《将Mybatis引入Spring Boot项目连接数据库操作》知道了如何在Spring Boot项目操作数据库,学会了增删查改基本操作方法。本节记录如何从Ldap获取组织结构及用户信息并导入数据库。一,引入Maven依赖并设置ldap连接信息首先在pom.xml添加引入ldap依赖,如下所示:org.springframework.bootspring-boot-starter-data...
JAVA 获取LDAPAD部门目录并转换为树结构以及部门和用户的逻辑关联操作,文件夹目录转树结构
Qensq的博客
02-07 2338
文件夹目录转树结构
LDAP集成登录、组织结构同步
初衷的博客
10-27 1475
此设置适合LDAP(比如 Free LDAP), Windows AD请参考Windows AD用户统一登录。 1、进入“系统常用管理功能 ” -> “LDAP用户统一登录”, 如下图: 2、设置LDAP参数 3、设置参数后重启文档服务,可以用LDAP账号直接登录文档系统 可以用LDAP账号直接登录,也可以实现混合用户登录 4、同步组和用户 可以导入选择的组、用户账号,实现组织结构同步 ...
JAVA获取AD用户、部门、部门树
Jack_Chen_me的博客
08-31 4612
公司产品需要对接客户的ad用户进行用户管理,分享功能如下: 1、连接ad 2、获取ad用户 3、获取ad部门 4、将ad部门转化为树结构(重点) 本人处女贴,如有不足,望批评指正 前言: ad简介及搭建可参考:https://www.cnblogs.com/cnjavahome/p/9029665.html 本人github代码:https://github.com/tofindnor...
获取AD中的组织单位用户,并且对用户大于1000个的进行分批读取
realbeckham的ADF学习总结
12-11 8263
package hz; import java.io.IOException; import java.util.ArrayList; import java.util.HashMap; import java.util.Hashtable; import java.util.List; import java.util.Map; import javax.naming.Cont
Spring Boot 2.0 项目实现自同步AD账号
weixin_34124577的博客
07-20 788
2019独角兽企业重金招聘Python工程师标准>>> ...
Java通过LDAP安全修改AD用户密码
这通常涉及到使用Java的`JNDI`(Java Naming and Directory Interface)库,通过 LDAP API 连接AD,然后执行修改密码的操作。 请注意,实际的代码实现会涉及更多的细节,包括正确配置AD的权限策略,以及使用适当的...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值