不能从Java获得与AD的连接[英] Can't get connection with AD from Java

问题描述

我正在尝试从 MS AD 检索一些信息:特定分支的成员、部门名称、职位、.

我使用了很多示例,包括 Apache Directory LDAP APIUnboundID,但是我无法与AD建立连接.

RDN:

C:\Users\Aleksey> whoami /fqdn
       CN=my common name here,
       OU=my organization unit here,
       OU=organization unit 2 here,
       OU=organization unit 1 here,
       OU=main organization unit here,
       DC=.my domain here,
       DC=domain 2 here,
       DC=main domain here

对于搜索,我使用以下过滤器:

public class LdapRetriever {
    public static void main (String[] args) {
        Hashtable env = new Hashtable();

        env.put(Context.INITIAL_CONTEXT_FACTORY, 
            "com.sun.jndi.ldap.LdapCtxFactory");
        env.put(Context.PROVIDER_URL, "ldap://" + 
            "ip of domain controller here" + ":389");
        env.put(Context.SECURITY_AUTHENTICATION, "simple");
        // Also I try to use the following SECURITY_PRINCIPAL: 
        // my login only, my domain\ my login
        env.put(Context.SECURITY_PRINCIPAL, "my login here" + "@" + 
            "my domain here.domain 2 here.main domain here");
        env.put(Context.SECURITY_CREDENTIALS, "my password here");

        try {           
            DirContext ctx = new InitialLdapContext(env,null);
            String returnedAtts[]={"sn","title","department","givenName"};

            SearchControls searchCtls = new SearchControls();  
            searchCtls.setReturningAttributes(returnedAtts);  
            searchCtls.setSearchScope(SearchControls.SUBTREE_SCOPE);

            String searchFilter = "(&(objectClass=user)(cn=*))";
            String searchBase = 
                "DC=my domain here,DC=domain 2 here,DC=main domain here";

            NamingEnumeration answer = ctx.search(searchBase, 
                searchFilter, searchCtls);
            ...

当我使用来自 env 的数据创建目录上下文时,出现异常:

Exception in thread "main" javax.naming.AuthenticationException: 
[LDAP: error code 49 - 80090308: LdapErr: DSID-0C090334, comment:
AcceptSecurityContext error, data 531, vece

如果未指定密码,则会出现以下异常:

Problem searching directory: 
javax.naming.NamingException:[LDAP:error code 1 - 00000000: 
LdapErr: DSID-0C090627, comment: 
In order to perform this operation a successful bind must be completed 
on the connection., data 0, vece]; remaining name 
'DC=my domain here,DC=domain 2 here,DC=main domain here'

我已经确认我的帐户没有被锁定.

根据常见活动目录LDAP绑定错误列表:

<块引用>
525​  user not found ​
52e​  invalid credentials ​
530​  not permitted to logon at this time​
531​  not permitted to logon at this workstation​
532​  password expired ​
533​  account disabled ​
701​  account expired ​
773​  user must reset password ​
775​  user account locked

就我而言,这意味着:"不允许在此工作站上登录",但使用相同的凭据我可以登录到域.

可能是什么原因?

推荐答案

错误代码 531 很可能与 AD 的配置有关.在某些情况下,用户只能从一台工作站登录,例如您的工作电脑.
这是在用户的userWorkstations 字段中配置的.
当您无法使用 RDP 登录到您的 AD 时,您需要您的 AD 管理员检查您的帐户是否有此字段,以及 AD 服务器是否包含在您的 userWorkstations 中或该字段已完全删除.

其他推荐答案

我的项目使用 ldap auth.我已经将您的来源与我的实现进行了比较.除了 SECURITY_PRINCIPAL 参数外,其他都相同.

它对我有用:

String login = "login";
String base = "ou=People,dc=example,dc=com";
String dn = "uid=" + login + "," + base;
env.put( Context.SECURITY_PRINCIPAL, dn );

其他推荐答案

错误数据 531,表示您无法从该工作站登录.错误数据 525,表示该条目不存在.

您可以通过发出以下命令从 DC 确定用户的 FDN:{dsquery 用户 -samid jim

"CN=Jim Willeke,CN=用户,DC=mad,DC=willeke,DC=com"}

我们有一些适用于 AD 的 JNDI 示例(假设您知道正确的参数)

您可能会发现使用 LDAP 浏览器更容易并首先使用它进行身份验证,然后您就会知道哪些参数会起作用.我们喜欢 Apache Studio.

本文地址:https://www.itbaoku.cn/post/978583.html