我根据LDAP服务器对用户进行身份验证,我需要查看用户是否属于某个特定组。还应允许属于该组下的子组的所有用户登录。这是我目前正在使用的代码:
private String[] returnedAtts = { "sn", "givenName", "mail", "objectSid", "memberOf" };
SearchControls searchCtls = new SearchControls();
searchCtls.setReturningAttributes(returnedAtts);
searchCtls.setSearchScope(SearchControls.SUBTREE_SCOPE);
LdapContext ldatCtxt = null;
try{
ldatCtxt= getInitialContext(userName, password);
}
catch(AuthenticationException e){
throw new AppException(AppMessageHandler.getClientString("invalidCredentials"));
}
String searchFilter = userSearchQuery.replace("$USERID$", userName);
NamingEnumeration<?> answer = ldatCtxt.search(searchBase, searchFilter,searchCtls);
String userGroup=null;
if(answer==null || !answer.hasMoreElements()){
throw new AppLoginException(AppMessageHandler.getClientString("invalidCredentials"));
}
SearchResult searchresult = (SearchResult) answer.next();
Attribute memberOf = (Attribute) searchresult.getAttributes().get("memberOf");
if(memberOf==null){
throw new AppLoginException(AppMessageHandler.getClientString("userNotInADGroup"));
}
userGroup = (String) memberOf.get();
String[] groups=userGroup.split(",");
boolean isMemberOfGroup = false;
for(String groupName:groups)
{
if(groupName.equals("CN="+appUserGrp))
isMemberOfGroup = true;
}
if(!isMemberOfGroup){
throw new AppLoginException(AppMessageHandler.getClientString("userNotInADGroup"));
}
当我检查特定组时这很好用但是当来自子组的用户(它是父组的成员 - appUserGrp时)不起作用。有没有办法检查是否用户属于特定组或该组成员的任何子组?
以下是我所拥有的团体结构样本:
组别1
SubGroup1
-User3
-User4
SubGroup2
-User5
组2
User1-5应该能够登录,但user6和user7应该无法登录。
答案 0 :(得分:1)
我假设你正在搜索&#34; ObjectSid&#34;,你正在使用Microsoft Active Directory。 如果是这样,您可以使用LDAP_MATCHING_RULE_IN_CHAIN使用可扩展匹配过滤器。使用scope = BASE和类似的东西查询组:
(member:1.2.840.113556.1.4.1941:=CN=John Smith,DC=MyDomain,DC=NET)
应该工作。