1.域服務器的簡單介紹
1.1 AD 域服務
什麼是目錄(directory)呢?
日常生活中使用的電話薄內記錄着親朋好友的姓名、電話與地址等數據,它就是 telephone directory(電話目錄);計算機中的文件系統(file system)內記錄着文件的文件名、大小與日期等數據,它就是 file directory(文件目錄)。
如果這些目錄內的數據能夠由系統加以整理,用戶就能夠容易且迅速地查找到所需的數據,而 directory service(目錄服務)提供的服務,就是要達到此目的。在現實生活中,查號臺也是一種目錄;在 Internet 上,百度和谷歌提供的搜索功能也是一種目錄服務。
Active Directory 域內的 directory database(目錄數據庫)被用來存儲用戶賬戶、計算機賬戶、打印機和共享文件夾等對象,而提供目錄服務的組件就是 Active Directory (活動目錄)域服務(Active Directory Domain Service,AD DS),它負責目錄數據庫的存儲、添加、刪除、修改與查詢等操作。一般適用於一個局域網內。
在 AD 域服務(AD DS)內,AD 就是一個命名空間(Namespace)。利用 AD,我們可以通過對象名稱來找到與這個對象有關的所有信息。
在 TCP/IP 網絡環境內利用 Domain Name System(DNS)來解析主機名與 IP 地址的對應關係,也就是利用 DNS 來解析來得到主機的 IP 地址。除此之外,AD 域服務也與 DNS 緊密結合在一起,它的域命名空間也是採用 DNS 架構,因此域名採用 DNS 格式來命名,例如可以將 AD 域的域名命名爲 moonxy.com。
1.2 AD域對象與屬性
AD 域內的資源以對象(Object)的形式存在,例如用戶、計算機與打印機等都是對象,而對象則通過屬性(Attriburte)來描述其特徵,也就是說對象本身是一些屬性的集合。例如,創建一個賬戶張三,則必須添加一個對象類型(object class)爲用戶的對象(也就是用戶賬戶),然後在這個用戶賬戶內輸入張三的姓名、登錄賬戶、電話號碼和電子郵件等信息,這其中的用戶賬戶就是對象,而姓名、登錄賬戶等數據就是該對象的屬性,張三就是對象類型爲用戶(user)的對象。
1.3 AD 域控制器 DC
AD 域服務(AD DS)的目錄數據存儲在域控制器(Domain Controller,DC)內。一個域內可以有多臺域控制器,每臺域控制器的地位幾乎是平等的,它們各自存儲着一份幾乎完全相同的 Active Directory。當在任何一臺域控制器內添加了一個用戶賬戶後,此賬戶默認被創建在此域控制器的 Active Directory,之後會自動被複制(replicate)到其他域控制器的 Active Directory,以便讓所有域控制器內的 Active Directory 數據都能夠同步(synchronize)。
當用戶在域內某臺計算機登錄時,會由其中一臺域控制器根據其 Active Directory 內的賬戶數據,來審覈用戶輸入的賬戶與密碼是否正確。如果是正確的,用戶就可以登錄成功;反之,會被拒絕登錄。域控制器是由服務器級別的額計算機來扮演的,例如 Windows Server 2012 和 Windows Server 2008 R2 等。
通常,域控制器的 Active Directory 數據庫是可以被讀寫的,除此之外,還有 Active Directory 數據庫是隻可以讀取、不可以被修改的只讀域控制器(Read-Only Domain Controller,RODC)。例如,某子公司位於遠程網絡,如果安全措施並不像總公司一樣完備,則可以使用 RODC。
1.4 LDAP
LDAP(Lightweight Directory Access Protocol),輕量目錄訪問協議,是一種用來查詢與更新 Active Directory 的目錄服務通信協議。AD 域服務利用 LDAP 命名路徑(LDAP naming path)來表示對象在 AD 內的位置,以便用它來訪問 AD 內的對象。
LDAP 數據的組織方式:
LDAP 名稱路徑如下:
標識名稱(distinguished Name,DN):它是對象在 Active Directory 內的完整路徑,DN 有三個屬性,分別是 CN,OU,DC。
DC (Domain Component):域名組件;
CN (Common Name):通用名稱,一般爲用戶名或計算機名;
OU (Organizational Unit):組織單位;
例如,如上用戶賬戶,其 DN 爲:
CN=張三,OU=Web前端組,OU=軟件開發部,DC=moonxy,DC=com
其中 DC(Domain Component)表示 DNS 域名中的組件,例如 moonxy.com 中的 moonxy 與 com;OU爲組織單位(Organization Unit);CN爲通用名稱(Common Name),一般爲用戶名或服務器名。除了DC與OU之外,其他都利用CN來表示,例如用戶與計算機對象都屬於CN。上述DN表示法中的 moonxy.com 爲域名,軟件研發部、Web前端組都是組織單位。此 DN 表示賬戶張三存儲在 moonxy.com\軟件研發部\Web前端組路徑中。
相對標識名稱(Relative Distinguished Name,RDN):RDN用來代表DN完整路徑中的部分路徑,例如上面路徑中的 CN=張三與 OU=Web前端組等都是 RDN。
Base DN:LDAP 目錄樹的最頂部就是根,也就是所謂的 "Base DN",如 "DC=moonxy,DC=com"。
除了 DN 與 RDN 這兩個對象名稱外,另外還有如下兩個名稱:
全局唯一標識符(Global Unique Identifier,GUID):GUID 是一個128位的數值,系統會自動爲每個對象指定一個唯一的GUID。雖然可以改變對象的名稱,但是其GUID永遠不會改變。
用戶主體名稱(User Principal Name,UPN):每個用戶還可以有一個比DN更短、更容易記憶的 UPN,例如上面的張三隸屬於 moonxy.com,則其 UPN 可以爲 [email protected]。用戶登錄時所輸入的賬戶名最好是 UPN,因爲無論此用戶的賬戶被移動到哪一個域,其 UPN 都不會改變,因此用戶可以一直使用同一個名稱來登錄。
AD 與 LDAP 的關係:LDAP 是一種用來訪問 AD 數據庫的目錄服務協議,AD DS 會通過 LDAP 名稱路徑來表示對象在 AD 數據庫中的位置,以便用它來訪問 AD 數據庫內的對象。LDAP 的名稱路徑包括有 DN、RDN。
openLDAP(Linux),Active Directory(Microsoft)等是對 LDAP 目錄訪問協議的具體實現,除了實現協議的功能,還對它進行了擴展。
2.安裝域服務器和EXChange
https://blog.csdn.net/dyllove98/article/details/9247045
3.java實現讀取用戶信息
import java.util.Hashtable;
import javax.naming.Context;
import javax.naming.NamingEnumeration;
import javax.naming.NamingException;
import javax.naming.directory.Attribute;
import javax.naming.directory.Attributes;
import javax.naming.directory.SearchControls;
import javax.naming.directory.SearchResult;
import javax.naming.ldap.InitialLdapContext;
import javax.naming.ldap.LdapContext;
/**
* @Author:hemingzhu
* @date:
* @Explanation:
*/
public class LdapADUntil {
public LdapADUntil() {
}
private String host,url,adminName,adminPassword;
private LdapContext ctx = null;
/**
* 鏈接AD域服務器
* @param host ip或者域
* @param port 端口默認是389
* @param adminName 用戶名一般是 domain\User 或 [email protected]
* @param pass
*/
public void initLdap(String host , String port , String adminName , String pass){
//ad服務器
this.host = host; // AD服務器
this.url = new String("ldap://" + host + ":" + port );//默認端口爲80的可以不用填寫,其他端口需要填寫,如ldap://xxx.com:8080
this.adminName = adminName;
this.adminPassword = pass;
Hashtable HashEnv = new Hashtable();
HashEnv.put(Context.SECURITY_AUTHENTICATION, "simple"); // LDAP訪問安全級別
HashEnv.put(Context.SECURITY_PRINCIPAL, adminName); // AD User
HashEnv.put(Context.SECURITY_CREDENTIALS, adminPassword); // AD Password
HashEnv.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.ldap.LdapCtxFactory"); // LDAP工廠類
HashEnv.put(Context.PROVIDER_URL, url);
try {
ctx = new InitialLdapContext(HashEnv, null);
System.out.println("初始化ldap成功!");
} catch (NamingException e) {
System.out.println("密碼錯誤");
e.printStackTrace();
System.err.println("Throw Exception : " + e);
}
}
/**
* 關閉ldap
*/
public void closeLdap(){
try {
this.ctx.close();
} catch (NamingException e) {
e.printStackTrace();
}
}
/**
* 查詢用戶 : organizationalUnit:組織架構 group:用戶組 user|person:用戶
* @param type
* @param filter
* @param name
* @return
*/
public String GetADInfo(String type ,String filter ,String name) {
String userName = name; // 用戶名稱
if (userName == null) {
userName = "";
}
String company = "";
String result = "";
try {
// 域節點:加入你的域的域名是 herbert.com DC=herbert,DC=com
String searchBase = "DC=herbert,DC=com";
// LDAP搜索過濾器類
//cn=*name*模糊查詢 cn=name 精確查詢
// String searchFilter = "(objectClass="+type+")";
String searchFilter = "(&(objectClass="+type+")("+filter+"=*" + name + "*))";
// 創建搜索控制器
SearchControls searchCtls = new SearchControls();
// 設置搜索範圍
searchCtls.setSearchScope(SearchControls.SUBTREE_SCOPE);
// String returnedAtts[] = { "memberOf" }; // 定製返回屬性
// searchCtls.setReturningAttributes(returnedAtts); // 設置返回屬性集 不設置則返回所有屬性
// 根據設置的域節點、過濾器類和搜索控制器搜索LDAP得到結果
NamingEnumeration answer = ctx.search(searchBase, searchFilter,searchCtls);// Search for objects using the filter
// 初始化搜索結果數爲0
int totalResults = 0;// Specify the attributes to return
int rows = 0;
while (answer.hasMoreElements()) {// 遍歷結果集
SearchResult sr = (SearchResult) answer.next();// 得到符合搜索條件的DN
++rows;
String dn = sr.getName();
System.out.println(dn);
Attributes Attrs = sr.getAttributes();// 得到符合條件的屬性集
if (Attrs != null) {
try {
for (NamingEnumeration ne = Attrs.getAll(); ne.hasMore();) {
Attribute Attr = (Attribute) ne.next();// 得到下一個屬性
System.out.println(" AttributeID=屬性名:"+ Attr.getID().toString());
// 讀取屬性值
for (NamingEnumeration e = Attr.getAll(); e.hasMore(); totalResults++) {
company = e.next().toString();
System.out.println(" AttributeValues=屬性值:"+ company);
}
System.out.println(" ---------------");
}
} catch (NamingException e) {
System.err.println("Throw Exception : " + e);
}
}// if
}// while
System.out.println("************************************************");
System.out.println("Number: " + totalResults);
System.out.println("總共用戶數:"+rows);
} catch (NamingException e) {
e.printStackTrace();
System.err.println("Throw Exception : " + e);
}
return result;
}
public static void main(String args[]) {
// 實例化
LdapADUntil ad = new LdapADUntil();
//鏈接域服務器
ad.initLdap("herbert.com","389","HERBERT\\Administrator","Herbert@123");
// ad.GetADInfo("user","cn","zhuzi");//查找用戶
// ad.GetADInfo("organizationalUnit","ou","OU");//查找組織架構
ad.GetADInfo("group","cn","Herbert");//查找用戶組
ad.closeLdap();
}
}