AI 助理
备案控制台
开发者社区 安全 文章 正文

JAVA通过SSL证书创建MS AD账户及设置密码

2017-11-27 1918
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:

近期由于工作需要整理一下自动化的东西,因为公司去年上线了OA,所以公司的入职系统会提交用户的信息到IT部门,最早的做法是入职到了,IT部门收集用户信息在AD中创建对应的用户信息,所以为了提高管理员的工作效率,所以准备实施自动创建AD账户,当OA流程到IT人员审批节点后,IT人员审批后根据人员信息自动创建AD账户,所以整理了一些JAVA创建AD人员信息的信息,但是我们需要注意点的是,对于JAVA语言操作MS AD的一些普通操作是不需要SSL的,但是对于用户密码的重置操作必须使用SSL,当然之前看网上有说可以跳过的,但是没有试验成功,所以还是按照标准的配置来通过SSL对用户的AD密码进行操作,废话不多说了,今天我们主要介绍使用JAVA通过SSL方式创建MS AD账户,因为要对创建的用户设置密码,所以需要使用SSL证书,既然需要SSL证书,目的就是为了让JAVA信任LDAP,所以我们需要从AD中导出受信任的证书,然后导入到JAVA运行环境中的JRE下的cacert证书文件中。我们既然说到了OA,其实OA中就可以通过系统自带的功能进行证书申请及证书导入,这样比较简单;当然如果没有OA环境的,我们可以通过JAVA运行环境中的JDK中的keytool进行证书导入工作,我们下面都会介绍到;

我们首先使用OA中的功能进行证书导入;我们OA中的证书路劲在/OAFS/WEAVER/jdk1.8.0_101/jre/lib/security/cacerts

image

确认OA环境中的JDK路劲后,我们接下来就是证书申请及导入了;

我们访问OA的地址,然后路劲增加/integration/ldapcert.jsp路劲访问即可;如果没有后面的JAVA文件可以找OA供应商要;或者在附件下载;

我们首先下载附件中的文件,下载后,附件中有三个文件;classbean、

我们首先进入classbean文件夹内的内容拷贝到对应的OA服务器的对应目录;

ecology\classbean\weaver\ldap

2.然后将解压文件中的文件夹integration文件中的以下文件拷贝到OA的对应的服务器目录下:

ecology\integration

3.因为解压后有三个文件夹,第三个文件夹src为源码,我们就不用管了

按照以上方法走完后,我们就可以通过以下链接来配置了

http://192.168.6.101/integration/ldapcert.jsp

访问后,我们再LDAP IP输入环境的AD DC服务器地址,系统会默认填写LDAP端口636,及证书路劲,这些信息系统会自动补全;我们需要手动设置证书密码,一般我们都会设置成changeit,设置好这些信息后,我们导入证书,会提示下面的导入信息;

image

导入完成

image

然后我们需要在证书路劲下载证书到本地的JRE环境进行测试了

image

接着我们看看第二种方式的证书申请;

我们需要从DC上导入域的根证书

mmc---增加---证书---计算机---个人---选择根证书----导出

image

不需要导出私钥

image

使用默认的DRE编码

image

保存

image

我们按照同样的方式,将另外一张也导出来

image

然后我们需要在本地的JDK环境中导入该根证书到JDK环境中的证书中;

我本地的JDK环境路劲D:\Development_Environment\java\jdk\jre\lib\security

image

然后运行命令将刚才导出的根证书导入到该路劲的cacert证书文件中;

我们首先要cd到jdk路劲

1
cd  D:\Development_Environment\java\jdk\jre\bin

然后将刚才导出的根证书保存到D盘下,通过以下命令导入

1
keytool keytool - import  -keystore    D:\Development_Environment\java\jdk\jre\lib\security\cacerts -storepass changeit -keypass changeit - alias  CA - file  d:\ADroot.cer

image

输入Y受信任

image

然后我们就可以通过

接着就是看看ADDS环境了

image

换进准备好,我们就可以上代码了;

我们设置好证书路劲,及LDAP验证信息,及需要注册的用户名

image

账户注册成功

image

上代码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
package  com.ixmsoft.oa.util;   
   
import  java.util.Properties;   
   
import  javax.naming.*;   
import  javax.naming.ldap.*;   
import  javax.naming.directory.*;   
   
/**  
  * @author Keven Chen  
  * @version $Revision 1.0 $  
  *   
  */  
public  class  AddAdUser {   
     private  static  final  String SUN_JNDI_PROVIDER =  "com.sun.jndi.ldap.LdapCtxFactory" ;   
   
     public  static  void  main(String[] args)  throws  Exception {   
         String keystore =  "D:\\Development_Environment\\java\\jdk\\jre\\lib\\security\\cacerts" ;   
         System.setProperty( "javax.net.ssl.trustStore" , keystore);   
   
         Properties env =  new  Properties();   
   
         env.put(Context.INITIAL_CONTEXT_FACTORY, SUN_JNDI_PROVIDER); // java.naming.factory.initial   
         env.put(Context.PROVIDER_URL,  "ldap://192.168.5.20:636" );// java.naming.provider.url   
         env.put(Context.SECURITY_AUTHENTICATION,  "simple" ); // java.naming.security.authentication   
         env.put(Context.SECURITY_PRINCIPAL,   
                 "cn=Administrator,cn=Users,dc=ixmsoft,dc=com" ); // java.naming.security.principal   
         env.put(Context.SECURITY_CREDENTIALS,  "123" ); // java.naming.security.credentials   
         env.put(Context.SECURITY_PROTOCOL,  "ssl" );   
   
         String userName =  "CN=gaowenlong,OU=IXM Adm,OU=IMXSOFT Users,DC=ixmsoft,DC=com" ;   
         String groupName =  "CN=Domain Admins,CN=Users,DC=ixmsoft,DC=com" ;   
   
         LdapContext ctx =  new  InitialLdapContext(env,  null );   
   
         // Create attributes to be associated with the new user   
         Attributes attrs =  new  BasicAttributes( true );   
   
         // These are the mandatory attributes for a user object   
         // Note that Win2K3 will automagically create a random   
         // samAccountName if it is not present. (Win2K does not)   
         attrs.put( "objectClass" "user" );   
         attrs.put( "sAMAccountName" "gaowenlong" );   
         attrs.put( "cn" "gaowenlong" );   
   
         // These are some optional (but useful) attributes   
         attrs.put( "sn" "gaowenlong" );   
         attrs.put( "displayName" "gaowenlong" );   
         attrs.put( "description" "gaowenlong" );   
         attrs.put( "userPrincipalName" "gaowenlong@ixmsoft.com" );   
         attrs.put( "mail" "gaowenlong@ixmsoft.com" );   
         attrs.put( "telephoneNumber" "1234568999" );   
   
         // some useful constants from lmaccess.h   
         int  UF_ACCOUNTDISABLE =  0x0002 ;   //禁用账户 
         int  UF_PASSWD_NOTREQD =  0x0020 ;    //用户不能修改密码
         int  UF_PASSWD_CANT_CHANGE =  0x0040 ;   
         int  UF_NORMAL_ACCOUNT =  0x0200 ;    //正常用户
         int  UF_DONT_EXPIRE_PASSWD =  0x10000 ;    //密码永不过期
         int  UF_PASSWORD_EXPIRED =  0x800000 ;    //密码已经过期
   
         // Note that you need to create the user object before you can   
         // set the password. Therefore as the user is created with no   
         // password, user AccountControl must be set to the following   
         // otherwise the Win2K3 password filter will return error 53   
         // unwilling to perform.   
   
         attrs.put( "userAccountControl" , Integer.toString(UF_NORMAL_ACCOUNT   
                 + UF_PASSWD_NOTREQD + UF_PASSWORD_EXPIRED + UF_ACCOUNTDISABLE));   
   
         // Create the context   
         Context result = ctx.createSubcontext(userName, attrs);   
         System.out.println( "Created disabled account for: "  + userName);   
   
         ModificationItem[] mods =  new  ModificationItem[ 2 ];   
   
         // Replace the "unicdodePwd" attribute with a new value   
         // Password must be both Unicode and a quoted string   
         String newQuotedPassword =  "\"Password2000\"" ;   
         byte [] newUnicodePassword = newQuotedPassword.getBytes( "UTF-16LE" );   
   
         mods[ 0 ] =  new  ModificationItem(DirContext.REPLACE_ATTRIBUTE,   
                 new  BasicAttribute( "unicodePwd" , newUnicodePassword));   
         mods[ 1 ] =  new  ModificationItem(DirContext.REPLACE_ATTRIBUTE,   
                 new  BasicAttribute( "userAccountControl" , Integer   
                         .toString(UF_NORMAL_ACCOUNT + UF_PASSWORD_EXPIRED)));   
   
         // Perform the update   
         ctx.modifyAttributes(userName, mods);   
         System.out.println( "Set password & updated userccountControl" );   
         // now add the user to a group.   
   
         try  {   
             ModificationItem member[] =  new  ModificationItem[ 1 ];   
             member[ 0 ] =  new  ModificationItem(DirContext.ADD_ATTRIBUTE,   
                     new  BasicAttribute( "member" , userName));   
   
             ctx.modifyAttributes(groupName, member);   
             System.out.println( "Added user to group: "  + groupName);   
   
         catch  (NamingException e) {   
             System.err.println( "Problem adding user to group: "  + e);   
         }   
         // Could have put tls.close() prior to the group modification   
         // but it seems to screw up the connection or context ?   
   
         ctx.close();   
   
         System.out.println( "Successfully created User: "  + userName);   
   
     }   
   
}

我们查看

image

查看账户属性

image

然后查看属性

image

image

我们将java文件上传到附件中,如果加在eclipse中有报错,请根据错误提示,右击导入ldap相关的包即可,



本文转自 高文龙 51CTO博客,原文链接:http://blog.51cto.com/gaowenlong/1969585,如需转载请自行联系原作者

文章标签:
高速通道
Java
网络安全
数据安全/隐私保护
安全
关键词:
Java ssl
Java设置
Java密码
SSL设置
SSL密码
技术小阿哥
目录
相关文章
yuanzhengme
|
1月前
|
Java 网络安全 Maven
Exception in thread "main" java.lang.NoSuchMethodError: okhttp3.OkHttpClient$Builder.sslSocketFactory(Ljavax/net/ssl/SSLSocketFactory;Ljavax/net/ssl/X509TrustManager;)Lokhttp3/OkHttpClient$Builder; 问题处理
【10月更文挑战第26天】Exception in thread "main" java.lang.NoSuchMethodError: okhttp3.OkHttpClient$Builder.sslSocketFactory(Ljavax/net/ssl/SSLSocketFactory;Ljavax/net/ssl/X509TrustManager;)Lokhttp3/OkHttpClient$Builder; 问题处理
yuanzhengme
44 2
dream_ready
|
2月前
|
安全 算法 Java
数据库信息/密码加盐加密 —— Java代码手写+集成两种方式,手把手教学!保证能用!
本文提供了在数据库中对密码等敏感信息进行加盐加密的详细教程,包括手写MD5加密算法和使用Spring Security的BCryptPasswordEncoder进行加密,并强调了使用BCryptPasswordEncoder时需要注意的Spring Security配置问题。
dream_ready
210 0
数据库信息/密码加盐加密 —— Java代码手写+集成两种方式,手把手教学!保证能用!
lsug6eziqmdfk1111
|
2月前
|
安全 网络安全 数据安全/隐私保护
如何利用AWS CloudFront 自定义设置SSL
如何利用AWS CloudFront 自定义设置SSL
lsug6eziqmdfk1111
2318 0
1288912195458132
|
4月前
|
算法 Java 测试技术
java 访问ingress https报错javax.net.ssl.SSLHandshakeException: Received fatal alert: protocol_version
java 访问ingress https报错javax.net.ssl.SSLHandshakeException: Received fatal alert: protocol_version
1288912195458132
503 1
1288912195458132
|
4月前
|
安全 Java 关系型数据库
Java连接Mysql SSL初始化失败
Java连接Mysql SSL初始化失败
1288912195458132
61 1
路边两盏灯
|
4月前
|
Java API 数据安全/隐私保护
【Azure Developer】使用 adal4j(Azure Active Directory authentication library for Java)如何来获取Token呢 (通过用户名和密码方式获取Access Token)
【Azure Developer】使用 adal4j(Azure Active Directory authentication library for Java)如何来获取Token呢 (通过用户名和密码方式获取Access Token)
路边两盏灯
84 0
爱你三千遍斯塔克
|
5月前
|
Java Redis 数据安全/隐私保护
Redis14----Redis的java客户端-jedis的连接池,jedis本身是线程不安全的,并且频繁的创建和销毁连接会有性能损耗,最好用jedis连接池代替jedis,配置端口,密码
Redis14----Redis的java客户端-jedis的连接池,jedis本身是线程不安全的,并且频繁的创建和销毁连接会有性能损耗,最好用jedis连接池代替jedis,配置端口,密码
爱你三千遍斯塔克
57 0
爱你三千遍斯塔克
|
5月前
|
Java Redis 数据安全/隐私保护
Redis13的Java客户端-Jedis快速入门,建立连接的写法,ip地址,设置密码密码,选择库的写法
Redis13的Java客户端-Jedis快速入门,建立连接的写法,ip地址,设置密码密码,选择库的写法
爱你三千遍斯塔克
49 0
大数据文摘
|
1天前
|
Java
Java—多线程实现生产消费者
本文介绍了多线程实现生产消费者模式的三个版本。Version1包含四个类:`Producer`(生产者)、`Consumer`(消费者)、`Resource`(公共资源)和`TestMain`(测试类)。通过`synchronized`和`wait/notify`机制控制线程同步,但存在多个生产者或消费者时可能出现多次生产和消费的问题。 Version2将`if`改为`while`,解决了多次生产和消费的问题,但仍可能因`notify()`随机唤醒线程而导致死锁。因此,引入了`notifyAll()`来唤醒所有等待线程,但这会带来性能问题。
大数据文摘
19 1
Java—多线程实现生产消费者
2G冲浪词条
|
3天前
|
安全 Java Kotlin
Java多线程——synchronized、volatile 保障可见性
Java多线程中,`synchronized` 和 `volatile` 关键字用于保障可见性。`synchronized` 保证原子性、可见性和有序性,通过锁机制确保线程安全;`volatile` 仅保证可见性和有序性,不保证原子性。代码示例展示了如何使用 `synchronized` 和 `volatile` 解决主线程无法感知子线程修改共享变量的问题。总结:`volatile` 确保不同线程对共享变量操作的可见性,使一个线程修改后,其他线程能立即看到最新值。
2G冲浪词条
21 7

热门文章

最新文章

  • 1
    使用let's encrypt免费ssl证书启用网站https
  • 2
    常见问题:阿里云ECS云服务器怎么安装配置SSL证书
  • 3
    nginx配置ssl证书实现网站https访问(免费ssl证书申请)
  • 4
    阿里云ECS云服务器怎么安装配置SSL证书
  • 5
    2023年阿里云免费SSL证书申请教程
  • 6
    使用cert-manager给阿里云的DNS域名授权SSL证书
  • 7
    证书转换-SSL证书生成:cer,jks文件 韩俊强的博客
  • 8
    八大免费SSL证书—为网站免费添加HTTPS加密
  • 9
    nginx使用ssl证书
  • 10
    生成免费且支持泛域名的的SSL证书
  • 1
    SSL加密
    56
  • 2
    Elasticsearch 8.X 集群 SSL 证书到期了,怎么更换?
    342
  • 3
    【专栏】深入探讨 L2TP 与 SSL 这两种协议的区别,帮助读者更好地理解它们各自的特点和适用场景
    856
  • 4
    /config --prefix=/usr/local/ssl --shared 命令里的参数的作用
    375
  • 5
    阿里云服务器配置、(xshell)远程连接、搭建环境、设置安全组、域名备案、申请ssl证书
    488
  • 6
    SSL原理、生成SSL密钥对、Nginx配置SSL
    153
  • 7
    深入理解SSL数字证书:定义、工作原理与网络安全的重要性
    451
  • 8
    nginx配置SSL证书配置https访问网站 超详细(附加配置源码+图文配置教程)
    699
  • 9
    HTTP代理SSL连接:保障网络安全的重要协议
    101
  • 10
    IDEA DataGrip连接sqlserver 提示驱动程序无法通过使用安全套接字层(SSL)加密与 SQL Server 建立安全连接的解决方法
    732

    • 相关课程

    更多
  • Java面试疑难点解析 - 面试技巧及语言基础
  • Java面试疑难点解析 - Java Web开发
  • Java面试疑难点解析 - 系统架构及项目设计
  • Java编程入门
  • Java面向对象编程
  • Java高级编程

    • 相关电子书

    更多
  • Spring Cloud Alibaba - 重新定义 Java Cloud-Native
  • The Reactive Cloud Native Arch
  • JAVA开发手册1.5.0

    • 相关实验场景

    更多
  • 阿里云平台上进行Java程序的编译与运行
  • 使用Java面向对象编写网络通信程序应用
  • 手动部署Java Web环境(Alibaba Cloud Linux 2)
  • 搭建Java Web开发环境(Anolis OS)
  • RocketMQ中使用Java客户端发送消息和消费的应用
  • 部署基于Dragonwell的Java运行环境
    • 下一篇
    DataWorks售前咨询