Я работаю над независимым Java-приложением в среде Active Directory, и обычный способ аутентификации - SingleSignOn.
Но у меня есть несколько интерфейсов, которые не поддерживают SSO. И теперь я думаю об использовании LDAP для аутентификации пользователей для приложений.
У меня вопрос: можно ли реализовать LDAP в среде ActiveDirectory?
Я надеюсь на вдохновение или разъяснения по этой теме ..
Я это понимаю. Но «вдохновение» и «широкие объяснения» здесь не совсем по теме.
Понятно. только вопросы по программированию. понял ^^
Расскажите нам, что вы пробовали, и покажите журналы или результаты и прочтите: stackoverflow.com/help/how-to-ask
Контроллеры домена Active Directory функционируют как серверы LDAP. Серверы будут иметь LDAP с открытым текстом, привязанный к порту 389, а серверы, которые могут автоматически подавать заявку на сертификат, будут иметь зашифрованный SSL LDAP, привязанный к порту 636.
Active Directory как сервер LDAP - это по сути, как и любой другой сервер LDAP, НО имена схемы меняются. Там, где вы обычно видите uid в LDAP, Microsoft использует sAMAccountName или userPrincipalName. Домен основан на компонентах домена (dc = something), а не на организациях (o = something). Но основные концепции остаются прежними.
Вы можете просмотреть SRV-запись для домена, чтобы вернуть список возможных контроллеров домена для использования в качестве сервера LDAP, вы можете настроить VIP балансировщика нагрузки для управления каталогом и добавить контроллеры домена, предназначенные для обработки трафика аутентификации из LDAP. , или у вас может быть основной хост ldap с дополнительным хостом для использования, если тот не может подключиться.
Если вы используете LDAP-SSL (и это правильно), вам необходимо добавить открытый ключ (и) для цепочки CA в файл cacerts, если администраторы домена не прошли процесс получения сертификатов DC. подписано публичным центром сертификации. Подключитесь к серверам AD через LDAP, выполните привязку с системными кредитами, найдите пользователя - что-то вроде (& (sAMAccountName = WhatUserEntered)) - в базовом DN для организации, верните полностью квалифицированный DN объекта, выполните привязку с полностью квалифицированным DN и пароль, предоставленный пользователем. Проверьте код результата, чтобы определить, прошла ли аутентификация.
Хорошо, я просто неправильно понял всю концепцию LDAP и SSO. Спасибо за помощь.
Я думаю, ваш вопрос слишком общий. Мы помогаем с конкретными вопросами программирования, а не с запросами на разработку решения / видения.