java连接Active Directory进行用户认证

本是古典何须时尚 2022-04-16 06:52 276阅读 0赞

将Windows2003 升级为域控制器：

在运行对话框里输入[dcpromo][]，进入AD安装向导。一步步执行即可。

执行完后可通过管理工具在AD中添加用户。使用新建的用户登录系统时会出现问题：

1）点击管理工具，域安全策略或域控制器安全策略时，提示错误：“**未能打开组策略对象 企图在不存在的网络连接上操作**”

gpedit.msc是可以打开本地组策略的。

原因是服务中的Computer Browser服务没有启动。启动后解决。

2）**此系统的本地策略，不允许您采用交互式登录**

原因：域控制器缺省状态下不允许新创建的用户登录。  
解决办法：  
在 这台域控制器中的“Active Directory用户和计算机”中创建一个组，假设组名为“NC Group”，然后打开\[开始\]→程序→管理工具→域控制器安全策略，在出现的窗口打开“安全设置”→“本地策略”→“用户权利指派”，把“在本地登录” 的权限赋给组“NC Group”，同时把所有要在这台域控制器上登录的终端服务用户添加到组“NC Group”中。  
注意：  
从设置该策略到策略生效需要一段时间，如果要使策略立即生效，可重启计算机或是运行一次 gpupdate /force 的cmd命令刷新。  
  
创建好用户后可以使用java程序访问AD进行身份认证，方法同访问LDAP相同：

public class AuthenticationTest {
    
    	public static void main(String[] args) {
    
    		String userName = "zhangsan"; // 用户名称
    		String password = "123456"; // 密码
    		String host = "192.168.131.111"; // AD服务器
    		String port = "389"; // 端口
    		String domain = "@example.com"; // 邮箱的后缀名
    		String url = new String("ldap://" + host + ":" + port);
    		String user = userName.indexOf(domain) > 0 ? userName : userName + domain;
    		Hashtable<String, String> env = new Hashtable<String, String>();
    		DirContext ctx;
    		env.put(Context.SECURITY_AUTHENTICATION, "simple");
    		env.put(Context.SECURITY_PRINCIPAL, user); 
    		env.put(Context.SECURITY_CREDENTIALS, password);
    		env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.ldap.LdapCtxFactory");
    		env.put(Context.PROVIDER_URL, url);
    
    		try {
    			ctx = new InitialDirContext(env);
    			ctx.close();
    			System.out.println("验证成功！");
    		} catch (NamingException e) {
    			e.printStackTrace();
    			System.out.println("验证失败！");
    		}
    	}
    }

[dcpromo]: http://baike.baidu.com/view/600121.htm