如何使用密钥表在 LDAP 服务器中进行身份验证
How to authenticate in LDAP server using keytab
有没有一种方法可以使用密钥表文件而不是直接提供凭据来创建 LdapContext?所以让我们假设我目前有这样一段代码
Hashtable<String,String> env=new Hashtable<String,String>();
env.put(Context.INITIAL_CONTEXT_FACTORY,"com.sun.jndi.ldap.LdapCtxFactory");
env.put(Context.PROVIDER_URL,LDAP_PROVIDER_URL);
env.put(Context.SECURITY_AUTHENTICATION,"simple");
env.put(Context.SECURITY_PRINCIPAL,LDAP_PRINCIPAL);
env.put(Context.SECURITY_CREDENTIALS,LDAP_CREDENTIALS);
LdapContext ctx = new InitialLdapContext(env,null);
如您所见,我手动指定了用户名和密码。那么指定密钥表文件的正确方法是什么?
简而言之,不可能这样做 - 授权由 LDAP 完成,而 keytab 处理身份验证。只能使用基于 LDAP 的方法创建 LdapContext。密钥表及其作为方法和上下文的调用属于 Kerberos 协议,这是一种不同的协议。虽然两者通常在当今市场上的主要目录服务系统(例如 Active Directory、OpenLDAP、Red Hat IDM)上一起使用,但在使用密钥表的 LdapContext 方面不能重叠。密钥表通常用于身份验证方法,而授权方法通常属于 LDAP(组或属性)。如果您想使用密钥表文件进行基于 Java 的身份验证,请查看此内容:Creating a keytab for java clients
是的,你可以,而且效果很好。看看我的 DirContextSource 库,它将为您完成所有艰苦的工作:
DirContextSource.Builder builder = new DirContextSource.Builder("ldap://hostname");
builder.gssApiAuth("MyAlternativeEntryName");
DirContextSource contextSource = builder.build();
// try and catch block omitted for the sake of brevity,
// handle NamingException appropriately
DirContext context = contextSource.getDirContext();
// Perform operations
context.close();
确保您的 login.conf 配置了条目 MyAlternativeEntryName,如下所示:
MyAlternativeEntryName {
com.sun.security.auth.module.Krb5LoginModule required doNotPrompt=true
principal="myprincipal@EXAMPLE.COM"
useKeyTab=true keyTab="/path/to/krb5.keytab" storeKey=true;
};
有没有一种方法可以使用密钥表文件而不是直接提供凭据来创建 LdapContext?所以让我们假设我目前有这样一段代码
Hashtable<String,String> env=new Hashtable<String,String>();
env.put(Context.INITIAL_CONTEXT_FACTORY,"com.sun.jndi.ldap.LdapCtxFactory");
env.put(Context.PROVIDER_URL,LDAP_PROVIDER_URL);
env.put(Context.SECURITY_AUTHENTICATION,"simple");
env.put(Context.SECURITY_PRINCIPAL,LDAP_PRINCIPAL);
env.put(Context.SECURITY_CREDENTIALS,LDAP_CREDENTIALS);
LdapContext ctx = new InitialLdapContext(env,null);
如您所见,我手动指定了用户名和密码。那么指定密钥表文件的正确方法是什么?
简而言之,不可能这样做 - 授权由 LDAP 完成,而 keytab 处理身份验证。只能使用基于 LDAP 的方法创建 LdapContext。密钥表及其作为方法和上下文的调用属于 Kerberos 协议,这是一种不同的协议。虽然两者通常在当今市场上的主要目录服务系统(例如 Active Directory、OpenLDAP、Red Hat IDM)上一起使用,但在使用密钥表的 LdapContext 方面不能重叠。密钥表通常用于身份验证方法,而授权方法通常属于 LDAP(组或属性)。如果您想使用密钥表文件进行基于 Java 的身份验证,请查看此内容:Creating a keytab for java clients
是的,你可以,而且效果很好。看看我的 DirContextSource 库,它将为您完成所有艰苦的工作:
DirContextSource.Builder builder = new DirContextSource.Builder("ldap://hostname");
builder.gssApiAuth("MyAlternativeEntryName");
DirContextSource contextSource = builder.build();
// try and catch block omitted for the sake of brevity,
// handle NamingException appropriately
DirContext context = contextSource.getDirContext();
// Perform operations
context.close();
确保您的 login.conf 配置了条目 MyAlternativeEntryName,如下所示:
MyAlternativeEntryName {
com.sun.security.auth.module.Krb5LoginModule required doNotPrompt=true
principal="myprincipal@EXAMPLE.COM"
useKeyTab=true keyTab="/path/to/krb5.keytab" storeKey=true;
};