在 Java 中的 Active Directory 林中工作时，如何将域名转换为 LDAP DC？

Question

我正在努力解决无法找到精简通用解决方案的问题。这是我的情况：

我在一个巨大的 AD 森林中，有超过 20 个子域在数百个服务器上进行复制。假设主域和 Kerberos 领域是 COMPANY.COM，我在 D1.COMPANY.COM 工作。 我确实从 Java 连接到全局目录，并且能够访问整个 forrest 以支持所有公司用户。

我的连接网址是这样的：ldap://mycompany.com:3268/DC=company,DC=com

整个东西都在一个 webapp 中运行，使用 SPNEGO 对用户进行身份验证，效果非常好。即，成功登录后，我确实收到了用户 UPN/Kerberos 主体。由于某些原因，林中的所有 UPN 字段都已更改为匹配用户的电子邮件地址，而不是保持 UPN 值不变。这意味着我无法通过 krb princ 进行搜索，但我必须删除用户名并通过 sAMAccountName 进行搜索。 我认为sAMAccountName 在整个森林中是唯一的，直到用户昨天登录失败。经过一些 LDAP 查询魔术后，我发现两个用户在两个不同的域中具有相同的 sAMAccountName。我的搜索失败了。

所以问题是，我如何确定基于 Kerberos 领域的领域/子域的基本 DN/DC？

我想出了几种使用剥离领域字符串的方法：

1. 构造一个 LDAP URL 并连接到并读取 defaultNamingContext
2. 将域名重新格式化为 DC=d1,DC...

目前，我正在使用方法 2，这似乎是最简单的方法。尽管这里有一些关于堆栈溢出的 C# 帖子说这可能由于不相交的空格而失败。

有人知道安全的解决方案吗？最好的办法实际上是将 Kerberos 主体转换为用户主体名称。

Answer 1

登录后，您会收到 UPN，这是一封电子邮件。它的用户名部分可以使用，因为它不是唯一的。域部分不能使用，因为它需要与命名上下文相同。您可能有 dc=mydomain,dc=com，但电子邮件的域可以是 myemaildomain.com。我也可以将其添加为额外的 UPN，我想这就是您的情况。

不要采取第二种方法。拿第一个。 做一个 dns srv 查找 _ldap._tcp.domain.com 阅读 DnsQueryConfig 获取配置的域名 获取服务器名称。 执行 rootDse 搜索请求命名上下文。 并构造 ldapurls

进一步.., 看起来您域中的 emailid 在整个森林中是唯一的 (?) 如果是这样，您可能可以将电子邮件 ID 标记为 PAS 属性，以便每个 GC 都有它的副本，并在 GC 端口上进行 ldap 搜索以查找 emailid。但这是一个非常糟糕的选择，因为这需要对超过 20 个子域的架构进行更改。

Answer 2

Kaylan，oVirt 项目 (www.ovirt.org) 包含 Spring-Ldap 代码，该代码向您展示如何使用 Kerberos 针对 Active-Directory、RHDS、ipa 和 Tivoli-DS 进行身份验证。我们仍然需要继续并实现森林功能（刚刚问了一个关于 Java 中 CLdap 实现的问题）。为了获得 defaultNamingContext，您必须向所需域发出 RootDSE 查询（我们在 oVirt 中也有一些代码）。 您可以通过执行 git clone 下载源代码，也可以使用http://gerrit.ovirt.org 浏览它们

请看engine\backend\manager\modules\bll\src\main\java\org\ovirt\engine\core\bll\adbroker下的代码

你会在那里看到你需要的一切。