背景
项目为Java Web工程,标准的后台管理界面程序。业务上需要增加对Active Directory中组织和人员的操作。本文记录了spring ldap和Active Directory的集成过程和注意事项。
配置
前置条件
Active Directory已提供LDAP访问和SSL支持
配置Java工程
- 增加pom依赖
<dependency>
<groupId>org.springframework.ldap</groupId>
<artifactId>spring-ldap-core</artifactId>
<version>2.3.1.RELEASE</version>
</dependency>
- 配置spring bean
<bean id="contextSourceTarget" class="org.springframework.ldap.core.support.LdapContextSource">
<property name="url" value="ldaps://192.168.1.234:636" />
<property name="base" value="OU=华车,DC=cloud,DC=com" />
<property name="userDn" value="CN=Administrator,CN=Users,DC=cloud,DC=com" />
<property name="password" value="changit" />
</bean>
<bean id="contextSource"
class="org.springframework.ldap.transaction.compensating.manager.TransactionAwareContextSourceProxy">
<constructor-arg ref="contextSourceTarget" />
</bean>
<bean id="ldapTemplate" class="org.springframework.ldap.core.LdapTemplate">
<constructor-arg ref="contextSource" />
</bean>
<bean id="personRepo" class="com.cloud.iaas.core.ldap.repo.impl.PersonRepoImpl">
<property name="ldapTemplate" ref="ldapTemplate" />
</bean>
如上,personRepo被注入了ldapTemplate,就可以使用这个工具来进行ldap操作。
注意以上是通过SSL连接的,因为对AD的写操作必须通过SSL进行,如果是只读的话可以通过普通连接。
SSL的配置
- 首先从Active Directory导出证书,登录AD所在机器,可以使用如下命令
certutil -ca.cert client.crt
- 将生成的文件导入java的keystore,可使用如下命令
keytool -import -file client.crt -keystore d:\cacerts -alias adcert -storepass yourpassword
以上即把证书导入了keystore里,这个keystore位于 d:\cacerts, 在下一步会用到
- 设定Java运行的环境变量,使得运行中能获取这个证书。有两种方式,
-Djavax.net.ssl.trustStore="<keystore文件路径>"
-Djavax.net.ssl.trustStorePassword="<keystore访问密码>"
或者
System.setProperty("javax.net.ssl.trustStore","<keystore文件路径>");
System.setProperty("javax.net.ssl.trustStorePassword","<keystore访问密码>");
这样就可以通过SSL访问Active Directory了。
LDAP访问操作
具体使用方式可参考Spring-LDAP文档
