我想使用我的OPENLDAP ldap执行基于证书的身份验证。
我创建了一个PKI,使用好的密钥库,trustores / certificates,key设置我的客户端和服务器。我还将LDAP配置为在SSL握手期间要求证书。
然后我尝试使用UnboudID LDAP进行身份验证,如下所示:
//Create a unsecured connection
LDAPConnection connection = new LDAPConnection(hostname,port);
//Secure the connection by the use of SSL (StartTLS operation)
SSLUtil ssl = new SSLUtil(new KeyStoreKeyManager(keyStore, new String("somePasword").toCharArray()),
new TrustStoreTrustManager(trustStore));
SSLContext sslContext = ssl.createSSLContext();
StartTLSExtendedRequest startTLSRequest = new StartTLSExtendedRequest(sslContext);
ExtendedResult startTLSResult = connection.processExtendedOperation(startTLSRequest);
//Bind request that should retrieve information from the client certificate and authenticate the client
BindRequest bindRequest = new EXTERNALBindRequest("");
BindResult bindResult = connection.bind(bindRequest);
//The result is always SUCCESS...
if (bindResult.getResultCode() != ResultCode.SUCCESS) {
...
}
我想绑定连接的用户的DN对应于:
cn=12345,ou=anOrganizationUnit,o=anOrganization,dc=com,dc=example
。由于来自证书的DN看起来像:cn=12345,ou=...,o=...,l=Berlin,st=some-state,c=de
我还在LDAP中创建了匹配规则。
只要我拥有CA签名的证书,bindRequest就会成功。如果来自LDAP的DN对应于LDAP中的任何内容,则无关紧要。我想它会转换为匿名连接。
但是当它与现有用户相对应时,它也无关紧要。用户未经过身份验证,我无法访问用户的权限。我尝试执行WhoAmI请求,然后返回:
authzId
= dn:cn=12345,ou=anorganizationunit,o=anorganization,dc=com,dc=example
这似乎很好(大写字母转换为小写字母)。
LDAP配置中是否遗漏了一些内容?或者它可能是我的证书?
我会非常感谢任何帮助:)
编辑:我不知道这是否有帮助,但在添加匹配规则之前,我执行了WhoAmI请求,结果如下:
dn:cn\3D12345\2C...,o=organization,dc=com,dc=example
。我在证书创建期间输入的通用名称似乎已被转义(\ 3D是" =",\ 2C是",")。
答案 0 :(得分:0)
我会回答我自己的问题,虽然这已经很长时间了但我无法访问代码。
我很确定这个问题与CN部分的逃逸相对应。我确实记得我的匹配规则不正确,我认为这是根本原因。但说实话,可能还有其他一些我不记得的错误。