LDAP和AD域的介绍及使用

　　1LDAP入门
　　1。1定义
　　LDAP是轻量目录访问协议（LightweightDirectoryAccessProtocol）的缩写，LDAP标准实际上是在X。500标准基础上产生的一个简化版本。
　　1。2目录结构
　　LDAP也可以说成是一种数据库，也有client端和server端。server端是用来存放数据，client端用于操作增删改查等操作，通常说的LDAP是指运行这个数据库的服务器。只不过，LDAP数据库结构为树结构，数据存储在叶子节点上。假设你要树上的一个苹果（一条记录），你怎么告诉园丁它的位置呢？
　　当然首先要说明是哪一棵树（dc，相当于MYSQL的DB），然后是从树根到那个苹果所经过的所有分叉（ou），最后就是这个苹果的名字（uid，相当于MySQL表主键id）。好了！这时我们可以清晰的指明这个苹果的位置了，就是那棵歪脖树的东边那个分叉上的靠西边那个分叉的再靠北边的分叉上的半红半绿的
　　因此，在LDAP中，位置可以描述如下树（dcljheee）
　　分叉（oubei，ouxi，oudong）
　　苹果（cnredApple）
　　因此，苹果redApple的位置为
　　dn：cnhonglv，oubei，ouxi，oudong，dcljheee
　　dn标识一条记录，描述了数据的详细路径。因此，LDAP树形数据库如下dn（DistinguishedName）：一条记录的详细位置
　　dc：一条记录所属区域（哪一颗树）
　　ou（OrganizationUnit）：一条记录所属组织（哪一个分支）
　　cnuid：一条记录的名字ID（哪一个苹果名字）LDAP目录树的最顶部就是根，也就是所谓的基准DN
　　因此，LDAP树形结构在存储大量数据时，查询效率更高，实现迅速查找，可以应用于域验证等。
　　1。3命名格式
　　LDAP协议中采用的命名格式常用的有如下两种：LDAPURL和X。500。
　　任何一个支持LDAP的客户都可以利用LDAP名通过LDAP协议访问活动目录，LDAP名不像普通的InternetURL名字那么直观，但是LDAP名往往隐藏在应用系统的内部，最终用户很少直接使用LDAP名。LDAP名使用X。500命名规范，也称为属性化命名法，包括活动目录服务所在的服务器以及对象的属性信息。
　　2AD入门
　　2。1AD定义
　　AD是ActiveDirectory的缩写，AD是LDAP的一个应用实例，而不应该是LDAP本身。比如：windows域控的用户、权限管理应该是微软公司使用LDAP存储了一些数据来解决域控这个具体问题，只是AD顺便还提供了用户接口，也可以利用ActiveDirectory当做LDAP服务器存放一些自己的东西而已。比如LDAP是关系型数据库，微软自己在库中建立了几个表，每个表都定义好了字段。显然这些表和字段都是根据微软自己的需求定制的，而不是LDAP协议的规定。然后微软将LDAP做了一些封装接口，用户可以利用这些接口写程序操作LDAP，使得ActiveDirectory也成了一个LDAP服务器。
　　2。2作用
　　2。2。1用户服务
　　管理用户的域账号、用户信息、企业通信录（与电子邮箱系统集成）、用户组管理、用户身份认证、用户授权管理、按需实施组管理策略等。这里不单单指某些线上的应用更多的是指真实的计算机，服务器等。
　　2。2。2计算机管理
　　管理服务器及客户端计算机账户、所有服务器及客户端计算机加入域管理并按需实施组策略。
　　2。2。3资源管理
　　管理打印机、文件共享服务、网络资源等实施组策略。
　　2。2。4应用系统的支持
　　对于电子邮件（Exchange）、在线及时通讯（Lync）、企业信息管理（SharePoint）、微软CRMERP等业务系统提供数据认证（身份认证、数据集成、组织规则等）。这里不单是微软产品的集成，其它的业务系统根据公用接口的方式一样可以嵌入进来。
　　2。2。5客户端桌面管理
　　系统管理员可以集中的配置各种桌面配置策略，如：用户适用域中资源权限限制、界面功能的限制、应用程序执行特征的限制、网络连接限制、安全配置限制等。
　　2。3AD域结构常用对象
　　2。3。1域（Domain）
　　域是AD的根，是AD的管理单位。域中包含着大量的域对象，如：组织单位（OrganizationalUnit），组（Group），用户（User），计算机（Computer），联系人（Contact），打印机，安全策略等。
　　可简单理解为：公司总部。
　　2。3。2组织单位（OrganizationUnit）
　　组织单位简称为OU是一个容器对象，可以把域中的对象组织成逻辑组，帮助网络管理员简化管理组。组织单位可以包含下列类型的对象：用户，计算机，工作组，打印机，安全策略，其他组织单位等。可以在组织单位基础上部署组策略，统一管理组织单位中的域对象。
　　可以简单理解为：分公司。
　　2。3。3群组（Group）
　　群组是一批具有相同管理任务的用户账户，计算机账户或者其他域对象的一个集合。例如公司的开发组，产品组，运维组等等。可以简单理解为分公司的某事业部。
　　群组类型分为两类：安全组：用来设置有安全权限相关任务的用户或者计算机账户的集合。比如：Tiger组都可以登录并访问某ftp地址，并拿到某个文件。
　　通信组：用于用户之间通信的组，适用通信组可以向一组用户发送电子邮件。比如：我要向团队内10位成员都发送同一封邮件这里就要抄送9次，而使用组的话我直接可以发送给Tiger，所有Tiger组内的成员都会收到邮件。
　　2。3。4用户（User）
　　AD中域用户是最小的管理单位，域用户最容易管理又最难管理，如果赋予域用户的权限过大，将带来安全隐患，如果权限过小域用户无法正常工作。可简单理解成为某个工作人员。
　　域用户的类型，域中常见用户类型分为：
　　普通域用户：创建的域用户默认就添加到DomainUsers中。域管理员：普通域用户添加进DomainAdmins中，其权限升为域管理员。企业管理员：普通域管理员添加进EnterpriseAdmins后，其权限提升为企业管理员，企业管理员具有最高权限。
　　一个大致的AD如下所示：
　　总之：ActiveDirectoryLDAP服务器LDAP应用（Windows域控）。ActiveDirectory先实现一个LDAP服务器，然后自己先用这个LDAP服务器实现了自己的一个具体应用（域控）。
　　3使用LDAP操作AD域
　　特别注意：Java操作查询域用户信息获取到的数据和域管理员在电脑上操作查询的数据可能会存在差异（同一个意思的表示字段，两者可能不同）。
　　连接ad域有两个地址：ldap：XXXXX。com：389和ldap：XXXXX。com：636（SSL）。
　　端口389用于一般的连接，例如登录，查询等非密码操作，端口636安全性较高，用户密码相关操作，例如修改密码等。
　　域控可能有多台服务器，之间数据同步不及时，可能会导致已经修改的数据被覆盖掉，这个要么域控缩短同步的时间差，要么同时修改每一台服务器的数据。
　　3。1389登录只要不抛出异常就是验证通过publicLdapContextadLogin（JSONObjectjson）｛Stringusernamejson。getString（username）；Stringpasswordjson。getString（password）；Stringserverldap：XXXXXXX。com：389；try｛HashtableString，StringenvnewHashtableString，String（）；用户名称，cn，ou，dc分别：用户，组，域env。put（Context。SECURITYPRINCIPAL，username）；用户密码cn的密码env。put（Context。SECURITYCREDENTIALS，password）；url格式：协议：ip：端口组，域，直接连接到域或者组上面env。put（Context。PROVIDERURL，server）；LDAP工厂env。put（Context。INITIALCONTEXTFACTORY，com。sun。jndi。ldap。LdapCtxFactory）；验证的类型none，simple，strongenv。put（Context。SECURITYAUTHENTICATION，simple）；LdapContextldapContextnewInitialLdapContext（env，null）；log。info（ldapContext：ldapContext）；log。info（用户username登录验证成功）；returnldapContext；｝catch（NamingExceptione）｛log。info（用户username登录验证失败）；log。info（错误信息：e。getExplanation（））；returnnull；｝｝
　　3。2636登录验证（需要导入证书）证书提前倒入的Java库中参考：https：www。cnblogs。commoonsonp4454159。htmlLdapContextadLoginSSL（JSONObjectjson）｛Stringusernamejson。getString（username）；Stringpasswordjson。getString（password）；HashtableenvnewHashtable（）；StringjavaHomeSystem。getProperty（java。home）；StringkeystorejavaHomelibsecuritycacerts；log。info（java。home，｛｝，keystore）；加载导入jdk的域证书System。setProperty（javax。net。ssl。trustStore，keystore）；System。setProperty（javax。net。ssl。trustStorePassword，changeit）；StringLDAPURLldap：XXXXXX。com：636；LDAP访问地址env。put（Context。INITIALCONTEXTFACTORY，com。sun。jndi。ldap。LdapCtxFactory）；env。put（Context。SECURITYPROTOCOL，ssl）；链接认证服务器env。put（Context。PROVIDERURL，LDAPURL）；env。put（Context。SECURITYAUTHENTICATION，simple）；env。put（Context。SECURITYPRINCIPAL，username）；env。put（Context。SECURITYCREDENTIALS，password）；try｛LdapContextldapContextnewInitialLdapContext（env，null）；log。info（认证成功）；这里可以改成异常抛出。returnldapContext；｝catch（javax。naming。AuthenticationExceptione）｛log。info（认证失败：｛｝，e。getMessage（））；｝catch（Exceptione）｛log。info（认证出错：｛｝，e。getMessage（））；｝returnnull；｝
　　3。3查询域用户信息publicListgetUserKey（JSONObjectjson）｛JSONObjectadminnewJSONObject（）；admin。put（username，Aaaaa）；admin。put（password，bbbbbbbb）；Stringnamejson。getString（name）；log。info（需要查询的ad信息：｛｝，name）；ListJSONObjectresultListnewJSONArray（）；LdapContextldapContextadLogin（admin）；连接到域控if（ldapContext！null）｛Stringcompany；Stringresult；try｛域节点StringsearchBaseDCXXXXXXX，DCcom；LDAP搜索过滤器类cnname模糊查询cnname精确查询StringsearchFilter（objectClasstype）；StringsearchFilter（sAMAccountNamename）；查询域帐号创建搜索控制器SearchControlssearchCtlsnewSearchControls（）；StringreturnedAtts〔〕｛description，sAMAccountName，userAccountControl｝；searchCtls。setReturningAttributes（returnedAtts）；设置指定返回的字段，不设置则返回全部设置搜索范围深度searchCtls。setSearchScope（SearchControls。SUBTREESCOPE）；根据设置的域节点、过滤器类和搜索控制器搜索LDAP得到结果NamingEnumerationanswerldapContext。search（searchBase，searchFilter，searchCtls）；初始化搜索结果数为0inttotalResults0；introws0；while（answer。hasMoreElements（））｛遍历结果集SearchResultsr（SearchResult）answer。next（）；得到符合搜索条件的DNrows；Stringdnsr。getName（）；log。info（dn）；AttributesAttrssr。getAttributes（）；得到符合条件的属性集if（Attrs！null）｛try｛for（NamingEnumerationneAttrs。getAll（）；ne。hasMore（）；）｛AttributeAttr（Attribute）ne。next（）；得到下一个属性读取属性值for（NamingEnumerationeAttr。getAll（）；e。hasMore（）；totalResults）｛companye。next（）。toString（）；JSONObjecttempJsonnewJSONObject（）；tempJson。put（Attr。getID（），company。toString（））；resultList。add（tempJson）；｝｝｝catch（NamingExceptione）｛log。info（ThrowException：e。getMessage（））；｝｝｝log。info（总共用户数：rows）；｝catch（NamingExceptione）｛log。info（ThrowException：e。getMessage（））；｝finally｛try｛ldapContext。close（）；｝catch（Exceptione）｛e。printStackTrace（）；｝｝｝returnresultList；｝
　　3。4重置用户密码管理员重置用户密码，后强制用户首次登录修改密码publicMapString，StringupdateAdPwd（JSONObjectjson）｛Stringdnjson。getString（dn）；要修改的帐号（这个dn是查询的用户信息里的dn的值，而不是域账号）Stringpasswordjson。getString（password）；新密码JSONObjectadminnewJSONObject（）；admin。put（username，aaaaaaa）；admin。put（password，bbbbbbb）；MapString，StringmapnewHashMapString，String（）；LdapContextldapContextadLoginSSL（admin）；连接636端口域ModificationItem〔〕modsnewModificationItem〔2〕；if（ldapContext！null）｛try｛StringnewQuotedPasswordpassword；byte〔〕newUnicodePasswordnewQuotedPassword。getBytes（UTF16LE）；unicodePwd：修改的字段，newUnicodePassword：修改的值mods〔0〕newModificationItem（DirContext。REPLACEATTRIBUTE，newBasicAttribute（unicodePwd，newUnicodePassword））；mods〔1〕newModificationItem（DirContext。REPLACEATTRIBUTE，newBasicAttribute（pwdLastSet，0））；首次登录必须修改密码修改密码ldapContext。modifyAttributes（dn，mods）；map。put（result，S）；map。put（message，成功）；｝catch（Exceptione）｛map。put（result，E）；map。put（message，无法重置密码）；｝finally｛try｛ldapContext。close（）；｝catch（Exceptione）｛e。printStackTrace（）；｝｝｝else｛log。info（）；map。put（result，E）；map。put（message，验证失败）；｝returnmap；｝
　　3。5域账号解锁表示锁定的字段需要测试，不一定这个lockoutTimepublicMapString，Stringdeblocking（JSONObjectjson）｛JSONObjectadminnewJSONObject（）；Stringdnjson。getString（dn）；被解锁的帐号（这个dn指的是查询用户信息里的dn的值，不是域账号）admin。put（username，aaaaaa）；admin。put（password，bbbbbb）；MapString，StringmapnewHashMapString，String（）；LdapContextldapContextadLogin（admin）；ModificationItem〔〕modsnewModificationItem〔1〕；if（ldapContext！null）｛try｛0表示未锁定，不为0表示锁定mods〔0〕newModificationItem（DirContext。REPLACEATTRIBUTE，newBasicAttribute（lockoutTime，0））；解锁域帐号ldapContext。modifyAttributes（dn，mods）；map。put（result，S）；map。put（message，成功）；｝catch（Exceptione）｛map。put（result，E）；map。put（message，解锁失败）；｝finally｛try｛ldapContext。close（）；｝catch（Exceptione）｛e。printStackTrace（）；｝｝｝else｛map。put（result，E）；map。put（message，验证失败）；｝returnmap；｝
　　总结
　　专注分享行业最新消息和前沿技术资讯，关注我！第一时间获取最新前沿，积累技术人弯道超车的资本