ldap密码加密方式
㈠ LDAP集成配置需要启用ssl才能修改密码
需要。
使用非加密的ldap时,只能对AD域账号信息查询。如果要对AD域用户信息进行修改和新增操作,必须使用(SSL)加密方式连接AD,需满足如下几个条件:① AD上需要安装证书服务。② 连接AD的主机上使用http://myhost.com/certsrv/打开浏览器申请证书。③ 如果连接AD的主机是Linux,需要安装openssl包,制作CA证书
微软官方给出的ldap修改密码方案:密码存储在 Active Directory 用户中的对象的 unicodePwd属性。可以在有限的情况下,写入此属性,但无法读取。该特性只能修改 ;不能将添加的对象的创建日期或通过搜索查询。 若要修改此属性 ,则客户端必须 128 位安全套接字层 (SSL) 连接到服务器 。为此连接成为可能,服务器必须拥有一个 128 位的 RSA 连接的服务器证书,客户端必须信任生成服务器证书的证书颁发机构 (CA) 和客户端和服务器必须能够使用 128 位加密。
㈡ ldap服务器中admin的密码如何设置让它永不过期
ldap添加账户时设置userAccountControl值 为65536。
㈢ 认证系统,如活动目录AD、LDAP、Radius这些,究竟是做什么用的。谢谢你。
AD、LDAP提供目录服务,即类似于企业、人员黄页的东西,用户和组织的信息都被存放在上面,查找起来十分快捷,也可以理解成一种特殊的数据库。
RADIUS是一种C/S结构的协议,它的客户端最初就是NAS(Net Access Server)服务器,现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS协议认证机制灵活,可以采用PAP、 CHAP或者Unix登录认证等多种方式。RADIUS是一种可扩展的协议,它进行的全部工作都是基于Attribute-Length-Value的向量进行的。RADIUS也支持厂商扩充厂家专有属性。用户接入NAS,NAS向RADIUS服务器使用Access-Require数据包提交用户信息,包括用户名、密码等相关信息,其中用户密码是经过MD5加密的,双方使用共享密钥,这个密钥不经过网络传播;RADIUS服务器对用户名和密码的合法性进行检验,必要时可以提出一个Challenge,要求进一步对用户认证,也可以对NAS进行类似的认证;如果合法,给NAS返回Access-Accept数据包,允许用户进行下一步工作,否则返回Access-Reject数据包,拒绝用户访问;如果允许访问,NAS向RADIUS服务器提出计费请求Account- Require,RADIUS服务器响应Account-Accept,对用户的计费开始,同时用户可以进行自己的相关操作。
㈣ LDAP和AD域的介绍及使用
1 LDAP入门
1.1 定义
LDAP是轻量目录访问协议(LightweightDirectory Access Protocol)的缩写,LDAP标准实际上是在X.500标准基础上产生的一个简化版本。
1.2 目录结构
LDAP也可以说成是一种数据库,也有client端和server端。server端是用来存放数据,client端用于操作增删改查等操作,通常说的LDAP是指运行这个数据库的服务器。只不过,LDAP数据库结构为树结构,数据存储在叶子节点上。
因此,在LDAP中,位置可以描述如下
因此,苹果redApple的位置为
dn标识一条记录,描述了数据的详细路径。因此,LDAP树形数据库如下
因此,LDAP树形结构在存储大量数据时,查询效率更高,实现迅速查找,可以应用于域验证等。
1.3 命名格式
LDAP协议中采用的命名格式常用的有如下两种:LDAP URL 和X.500。
任何一个支持LDAP 的客户都可以利用LDAP名通过LDAP协议访问活动目录,LDAP名不像普通的Internet URL名字那么直观,但是LDAP名往往隐藏在应用系统的内部,最终用户很少直接使用LDAP 名。LDAP 名使用X.500 命名规 范,也称为属性化命名法,包括活动目录服务所在的服务器以及对象的属性信息。
2 AD入门
2.1 AD定义
AD是Active Directory的缩写,AD是LDAP的一个应用实例,而不应该是LDAP本身。比如:windows域控的用户、权限管理应该是微软公司使用LDAP存储了一些数据来解决域控这个具体问题,只是AD顺便还提供了用户接口,也可以利用ActiveDirectory当做LDAP服务器存放一些自己的东西而已。比如LDAP是关系型数据库,微软自己在库中建立了几个表,每个表都定义好了字段。显然这些表和字段都是根据微软自己的需求定制的,而不是LDAP协议的规定。然后微软将LDAP做了一些封装接口,用户可以利用这些接口写程序操作LDAP,使得ActiveDirectory也成了一个LDAP服务器。
2.2 作用
2.2.1 用户服务
管理用户的域账号、用户信息、企业通信录(与电子邮箱系统集成)、用户组管理、用户身份认证、用户授权管理、按需实施组管理策略等。这里不单单指某些线上的应用更多的是指真实的计算机,服务器等。
2.2.2 计算机管理
管理服务器及客户端计算机账户、所有服务器及客户端计算机加入域管理并按需实施组策略。
2.2.3 资源管理
管理打印机、文件共享服务、网络资源等实施组策略。
2.2.4 应用系统的支持
对于电子邮件(Exchange)、在线及时通讯(Lync)、企业信息管理(SharePoint)、微软CRM&ERP等业务系统提供数据认证(身份认证、数据集成、组织规则等)。这里不单是微软产品的集成,其它的业务系统根据公用接口的方式一样可以嵌入进来。
2.2.5 客户端桌面管理
系统管理员可以集中的配置各种桌面配置策略,如:用户适用域中资源权限限制、界面功能的限制、应用程序执行特征的限制、网络连接限制、安全配置限制等。
2.3 AD域结构常用对象
2.3.1 域(Domain)
域是AD的根,是AD的管理单位。域中包含着大量的域对象,如:组织单位(Organizational Unit),组(Group),用户(User),计算机(Computer),联系人(Contact),打印机,安全策略等。
可简单理解为:公司总部。
2.3.2 组织单位(Organization Unit)
组织单位简称为OU是一个容器对象,可以把域中的对象组织成逻辑组,帮助网络管理员简化管理组。组织单位可以包含下列类型的对象:用户,计算机,工作组,打印机,安全策略,其他组织单位等。可以在组织单位基础上部署组策略,统一管理组织单位中的域对象。
可以简单理解为:分公司。
2.3.3 群组(Group)
群组是一批具有相同管理任务的用户账户,计算机账户或者其他域对象的一个集合。例如公司的开发组,产品组,运维组等等。可以简单理解为分公司的某事业部。
群组类型分为两类:
2.3.4 用户(User)
AD中域用户是最小的管理单位,域用户最容易管理又最难管理,如果赋予域用户的权限过大,将带来安全隐患,如果权限过小域用户无法正常工作。可简单理解成为某个工作人员。
域用户的类型,域中常见用户类型分为:
一个大致的AD如下所示:
总之:Active Directory =LDAP服务器 LDAP应用(Windows域控)。ActiveDirectory先实现一个LDAP服务器,然后自己先用这个LDAP服务器实现了自己的一个具体应用(域控)。
3 使用LDAP操作AD域
特别注意:java操作查询域用户信息获取到的数据和域管理员在电脑上操作查询的数据可能会存在差异(同一个意思的表示字段,两者可能不同)。
连接ad域有两个地址:ldap://XXXXX.com:389 和 ldap://XXXXX.com:636(SSL)。
端口389用于一般的连接,例如登录,查询等非密码操作,端口636安全性较高,用户密码相关操作,例如修改密码等。
域控可能有多台服务器,之间数据同步不及时,可能会导致已经修改的数据被覆盖掉,这个要么域控缩短同步的时间差,要么同时修改每一台服务器的数据。
3.1 389登录
3.2 636登录验证(需要导入证书)
3.3 查询域用户信息
3.4 重置用户密码
3.5 域账号解锁
总结
㈤ Java如何修改LDAP已过期的密码
package com.ido85.party.aaaa.mgmt.ldap.domain;
import javax.naming.Name;
import lombok.Data;
import org.springframework.ldap.odm.annotations.Attribute;
import org.springframework.ldap.odm.annotations.Attribute.Type;
import org.springframework.ldap.odm.annotations.DnAttribute;
import org.springframework.ldap.odm.annotations.Entry;
import org.springframework.ldap.odm.annotations.Id;
import com.fasterxml.jackson.annotation.JsonIgnore;
/**
* @author rongxj <br/>
* <p>
* objectClasses: 对象类,由多个attributetype(属性类型)组成,每个实体属于一个或多个对象类 <br/>
* base: basedn 基础DN,根节点
* </p>
*/
@Data
@Entry(objectClasses = { "person", "organizationalPerson", "inetOrgPerson", "top",
"posixAccount", "shadowAccount" })
// ,base = "dc=inspur,dc=com")
public class Account {
/**
* Distinguished Name<br/>
* exp: uid=ldapuser4,ou=People,dc=inspur,dc=com
*/
@JsonIgnore
@Id
private Name dn;
/**
* 用户组织
*/
@DnAttribute(value = "ou", index = 0)
private String ou;
/**
* uid
*/
@Attribute(name = "uid", type = Type.STRING)
@DnAttribute(value="uid", index=1)
private String uid;
/**
* commonname,
*/
@Attribute(name = "cn", type = Type.STRING)
private String name;
/**
* 姓氏
*/
@Attribute(name = "sn", type = Type.STRING)
private String surname;
/**
* mail
*/
@Attribute(name = "mail", type = Type.STRING)
private String mail;
/**
* crypt 加密
*/
@Attribute(name = "userPassword", type = Type.STRING)
private String userPassword;
/**
* crypt 加密 正确的密码获取方式,采用二进制
*/
@Attribute(name = "userPassword", type = Type.BINARY)
private byte[] userPassword;
/**
* 最后一次修改间隔(1970年1月1日开始),单位 天
*/
@Attribute(name = "shadowLastChange")
private int shadowLastChange;
/**
* 从上一次修改后,多长时间内不允许修改密码
*/
@Attribute(name = "shadowMin")
private int shadowMin;
/**
* 从上一次修改后,多长时间过期
*/
@Attribute(name = "shadowMax")
private int shadowMax;
/**
* 提前多少天提醒用户密码过期
*/
@Attribute(name = "shadowWarning")
private int shadowWarning;
/**
* 用户ID
*/
@Attribute(name = "uidNumber")
private int uidNumber;
/**
* 用户组ID
*/
@Attribute(name = "gidNumber")
private int gidNumber;
/**
* 用户主目录<br/>
* /home/uid
*/
@Attribute(name = "homeDirectory")
private String homeDirectory;
㈥ java通过ladp修改ad用户密码的问题。
我觉得可能你没有权限修改那个节点,或者你给的密码本身不是加密的,不符合它的要求.
像之前在 OpenLDAP 中就可以对跟密码相关的节点设定仅允许管理器账户访问.因此 AD 本身是操作系统管理,它可能有其它的完整性验证方法来核对你的修改是否有效,本身AD服务器有其它额外的功能,比如与其它服务器同步数据,在多个域控制器之间交换数据,因此它会加一些额外功能,它不仅仅是 LDAP.
建议你使用 apache 网站上的 LDAP Schema editor 这个 eclipse 插件来试验一下修改密码是否成功,毕竟它的客户端功能更强大,考虑得更全面,如果它不能修改密码,那就可能是有些局限性了,毕竟 AD 在 LDAP 上应该是添加了不少额外功能,甚至有些锁定的区域.
㈦ ldap是怎样实现权限控制的
JIRA与LDAP集成的工作机制是这样的: 1. 用户信息依旧需要在JIRA中进行管理 2. 只有密码验证在LDAP中完成 3. 在LDAP中不存在的用户依旧可以通过JIRA本身的密码验证机制(OSUser)来进行身份校验 4. 并非全部的LDAP用户都具有JIRA访问权限 配置JIRA...