具有UnboundID和证书的SASL外部身份验证

时间:2015-04-30 15:57:23

标签: openldap client-certificates sasl unboundid-ldap-sdk ldapconnection

我想使用我的OPENLDAP ldap执行基于证书的身份验证。

我创建了一个PKI,使用好的密钥库,trustores / certificates,key设置我的客户端和服务器。我还将LDAP配置为在SSL握手期间要求证书。

然后我尝试使用UnboudID LDAP进行身份验证,如下所示:

    //Create a unsecured connection

    LDAPConnection connection = new   LDAPConnection(hostname,port);

    //Secure the connection by the use of SSL (StartTLS operation)

    SSLUtil ssl = new SSLUtil(new KeyStoreKeyManager(keyStore, new String("somePasword").toCharArray()),
            new TrustStoreTrustManager(trustStore));
    SSLContext sslContext = ssl.createSSLContext();
    StartTLSExtendedRequest startTLSRequest = new StartTLSExtendedRequest(sslContext);
    ExtendedResult startTLSResult = connection.processExtendedOperation(startTLSRequest);

    //Bind request that should retrieve information from the client certificate and authenticate the client

    BindRequest bindRequest = new EXTERNALBindRequest("");
    BindResult bindResult = connection.bind(bindRequest);

    //The result is always SUCCESS...
    if (bindResult.getResultCode() != ResultCode.SUCCESS) {
        ...
    }

我想绑定连接的用户的DN对应于: cn=12345,ou=anOrganizationUnit,o=anOrganization,dc=com,dc=example。由于来自证书的DN看起来像:cn=12345,ou=...,o=...,l=Berlin,st=some-state,c=de我还在LDAP中创建了匹配规则。

只要我拥有CA签名的证书,bindRequest就会成功。如果来自LDAP的DN对应于LDAP中的任何内容,则无关紧要。我想它会转换为匿名连接。 但是当它与现有用户相对应时,它也无关紧要。用户未经过身份验证,我无法访问用户的权限。我尝试执行WhoAmI请求,然后返回: authzId = dn:cn=12345,ou=anorganizationunit,o=anorganization,dc=com,dc=example这似乎很好(大写字母转换为小写字母)。

LDAP配置中是否遗漏了一些内容?或者它可能是我的证书?

我会非常感谢任何帮助:)

编辑:我不知道这是否有帮助,但在添加匹配规则之前,我执行了WhoAmI请求,结果如下: dn:cn\3D12345\2C...,o=organization,dc=com,dc=example。我在证书创建期间输入的通用名称似乎已被转义(\ 3D是" =",\ 2C是",")。

1 个答案:

答案 0 :(得分:0)

我会回答我自己的问题,虽然这已经很长时间了但我无法访问代码。

我很确定这个问题与CN部分的逃逸相对应。我确实记得我的匹配规则不正确,我认为这是根本原因。但说实话,可能还有其他一些我不记得的错误。