問題タブ [ldap]

Win2003 Activedirectory（LDAP）に対して認証するようにTomcat5.5を構成する方法

デフォルトのTomcat構成にはどのような変更が必要ですか。少なくとも、Win2003サーバーのIPを使用するには、server.xmlを何らかの方法で変更する必要がありますか。

DBA から、私のアプリケーションの 1 つが実際に LDAP サーバーの 1 つを停止させていると報告を受けました。コードを何度か調べましたが、LDAP にアクセスする回数を制限する方法がわかりません。そこで、実際にデータを取得する方法を調べて、より良い方法があるかどうかを確認することにしました。私が使用している実際のデータ モデルを開発したわけではありません。また、System.DirectoryServices.Protocols ライブラリが何であるかもわかりません。

.NET LDAP プロバイダーの使用に詳しい方からアドバイスをいただければ幸いです。LDAPサーバーでエントリを検索するために使用している関数は次のとおりです。

.NET LDAP プロバイダーが少し遅い可能性はありますか? 誰かが自分のショップでどのように LDAP をヒットしているかを示すコード例をいくつか持っていれば、それは素晴らしいことです。

とにかく、助けてくれてありがとう。

ありがとう、
CM

ADから次のプロパティを読みました。

DirectoryEntryとDirectorySearcherを試しました。ただし、プロパティは含まれていません。

私はそれらを読むためにvbscriptとVCでいくつかの例を見つけました。しかし、C＃で動作させることができませんでした。トリッキーなものが欠けていますか？

編集：それを機能させるには、「WindowsServer」で実行する必要がありますか？Win XPから読み取ることはできますか？

LDAP / AD を使用するように Tomcat を構成しました。

ログインしているユーザーの詳細を取得するにはどうすればよいですか? ユーザーIDは返されrequest.getRemoteUser()ますが、必要なフルネームではありません。

displayNameAD から実際の " " (氏名)を取得するにはどうすればよいですか?

ldap/activedirectory/tomcat 5.5 を使用しています

私は現在、グループ内のユーザーのリストを取得し、そのグループを繰り返し処理して特定のアカウントが存在するかどうかを判断するコードをいくつか持っていますが、これを達成するためのより簡潔な (そしておそらくより高速な) 方法があるはずです。

このコード (VB.NET) はグループ オブジェクトのメンバー プロパティを使用しようとしますが、ユーザーがそのグループのメンバーであっても false を返します。ここで私が間違っていることを誰かが見ることができますか?

参考: GetNetworkObject 呼び出しは directoryEntry オブジェクトを返すだけです。グループ オブジェクトとユーザー オブジェクトの両方に対して正しいオブジェクトが返されることを確認しました。

ext/ldap を使用して、Active Directory にエントリを追加しようとしています。単一の構造的 objectClass のみを使用する限り、すべてが期待どおりに機能しますが、2 番目の補助 objectClass を使用してエントリを追加しようとすると、サーバーはエラーを報告します。

サーバーは実行を望んでいません。00002040: SvcErr: DSID-030F0AA0、問題 5003 (WILL_NOT_PERFORM)、データ 0

次のコードが機能します。

これはしません:

補助 objectClass を既存のエントリに追加しようとすると、同じことが起こります。

対応するエラーメッセージは基本的に同じです

サーバーは実行を望んでいません。00002040: SvcErr: DSID-030508F8、問題 5003 (WILL_NOT_PERFORM)、データ 0

他のすべての更新および追加操作が機能するため、問題は objectClass 属性に関連しているに違いないと思います。

Active Directory の経験が十分でないため (OpenLDAP には慣れています)、Active Directory の objectClasses に関する既知の問題はありますか? ここで何か不足していますか？domainRelatedObjectへの追加などを禁止する制限はありorganizationalUnitますか? ここで一体何が起こっているのですか ;-)?

ご参考までに、domainRelatedObjectは Active Directory スキーマに存在します。

ユーザーが特定のADグループのメンバーであるかどうかを判断するコードを強化しようとしています。これは基本的に、グループのメンバーが外国のセキュリティプリンシパルとして保存されているために別の（信頼できる）ドメインからのものである場合を除いて機能します。

テストするグループとチェックするアカウントの両方に有効なDirectoryEntryオブジェクトがある場合、アカウントがそのグループに含まれていることを確認できるDirectorySearcherFilter文字列が必要です。外国のセキュリティプリンシパルです。

（問題を示すVB.NETコードサンプル）

CGI/TCL スタックを使用して LDAP でユーザーを認証するにはどうすればよいですか?

可能であれば、サンプル コード スニペットを提供してください。

RHEL 5.0 で Apache Web サーバーを使用しています。AD は、リモートの Win2003 サーバー上に存在します。

Novell がリリースしたライブラリ (Novell.Directory.Ldap) を使用しようとしています。バージョン 2.1.10。

私がこれまでに行ったこと：

• アプリケーション（LdapBrowser）との接続をテストしましたが、動作しているため、通信の問題ではありません。

• Mono でコンパイルされていますが、Visual Studio で作業しています。そのため、ソースを使用してプロジェクトを作成しました。プロジェクトが Mono.Security に依存していたため、Mono.Security への参照も含めました。

• より多くの例外をスローしていたため、接続の一部をキャッチするエラーで呼び出し (freeWriteSemaphore(semId); ) にコメントしました。その呼び出しが何をしたかを確認しましたが、それは単なるエラー追跡メカニズムです。

• Novell のドキュメント ( http://www.novell.com/coolsolutions/feature/11204.html )に記載されている基本的な手順に従いました。

  // LdapConnection インスタンスの作成

  LdapConnection ldapConn= 新しい LdapConnection(); ldapConn.SecureSocketLayer = ldapPort == 636;

  //Connect 関数はサーバーへのソケット接続を作成します

  ldapConn.Connect(ldapHost,ldapPort);

  //Bind 関数は、ユーザー オブジェクト資格情報をサーバーにバインドします

  ldapConn.Bind(userDN,userPasswd);

• 現在、Bind() 関数でクラッシュしています。エラー 91 が表示されます。

では、誰かがこのライブラリを使用して動作するのを見たことがありますか? もしそうなら、それを機能させるために何をしましたか?特別な設定が必要ですか? Mono を使用せずに .NET 環境で動作させる方法はありますか (Mono dll を参照することはできますが、サーバーにインストールしたくありません)。

(更新) 接続はポート 636 で行われるため、SSL を使用します。WireShark で通信を確認し、LDAP Browser から取得したものと比較しました。SSL証明書が通信されるステップがLDAPライブラリによって行われていないことがわかりました。では、本来の目的を果たすための最良の方法は何ですか?

(更新) ドキュメントを確認したところ、SSL をサポートしていないことが示されています。http://www.novell.com/coolsolutions/feature/11204.html

LdapConnection.Bind() を使用して LDAP サーバーに対して認証します。クリアテキスト認証のみをサポートしています。SSL/TLS サポートはまだ追加されていません。

ただし、ドキュメントの日付は 2004 年であり、それ以来、多くの更新が行われています。ライブラリには、接続で SSL を使用するかどうかを定義するパラメーターがあります。だから今、私は混乱しています。

(更新) より最新のドキュメントを見つけました: http://developer.novell.com/documentation//ldapcsharp/index.html?page=/documentation//ldapcsharp/cnet/data/bqwa5p0.html . SSL 接続を確立する方法は、サーバーに証明書を登録することです。問題は、私がやっていることは特定の Novell サーバーにバインドされていないため、証明書を動的に取得する必要があることです。

Java を使用して Active Directory に対して認証するという簡単なタスクがあります。資格情報を確認するだけで、他には何もありません。私のドメインが「fun.xyz.tld」で、OU パスが不明で、ユーザー名/パスワードが testu/testp であるとします。

このタスクを単純化する Java ライブラリがいくつかあることは知っていますが、それらの実装には成功しませんでした。私が見つけたほとんどの例は、特に Active Directory ではなく、一般的な LDAP に対応しています。LDAP リクエストを発行するということは、そこに OU パスを送信することを意味しますが、それは私にはありません。また、LDAP 要求を発行するアプリケーションは、アクセスするために Active Directory に既にバインドされている必要があります...資格情報を検出可能な場所に保存する必要があるため、安全ではありません。可能であれば、テスト資格情報を使用したテスト バインドが必要です。これは、アカウントが有効であることを意味します。

最後に、可能であれば、そのような認証メカニズムを暗号化する方法はありますか? AD が Kerberos を使用することは知っていますが、Java の LDAP メソッドが使用するかどうかはわかりません。

作業コードの例はありますか? ありがとう。