2017年11月2日
JavaでActiveDirectory検索を行う(AD認証)
JavaでActiveDirectory検索を行う(AD認証)
JNDIを利用し、ActiveDirectoryへアクセスする。
JNDIを利用し、ActiveDirectoryへアクセスしユーザ認証を行う方法を紹介します。
※参考資料
https://www.intra-mart.jp/document/library/iap/public/im_certification/im_certification_programming_guide/texts/example/index.html
上記のサンプルをより汎用的に改良しました。
■JNDIとは
Java Naming and Directory Interfaceの略で、ネームサービスやディレクトリーサービスにアクセスする方法
ActiveDirectoryも「ディレクトリサービス」となります。
ActiveDirectoryとは、ユーザー、組織やグループ、コンピューター、プリンタ、共有フォルダなどの情報を管理します。
今回はユーザをJavaを用いて検索する方法についてご紹介します。
■Javaでの実現方法
Javaでディレクトリサービスを操作する場合は、以下を利用します。
Javaでディレクトリ操作を実行するためのAPIとなります。
本コンテキストに接続情報、ユーザ情報などを設定するだけで簡単にアクセスが可能となります。
■サンプルコード
/** * LDAP 認証サーバに認証を依頼します。 */ public static void main(String args[]) { String userId = "test_user"; final String baseDn = "CN=Users,DC=test,DC=local"; final String providerUrl = "ldap://XXXXX.aaa.local"; Hashtable<String, String> env = new Hashtable<String, String>(); // Contextファクトリ env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.ldap.LdapCtxFactory"); // AD接続先URL env.put(Context.PROVIDER_URL, providerUrl); // セキュリティレベル env.put(Context.SECURITY_AUTHENTICATION, "simple"); // ユーザID+ドメイン env.put(Context.SECURITY_PRINCIPAL, "admin" + "@" + "test.local"); // パスワード env.put(Context.SECURITY_CREDENTIALS, "adminp@ss"); DirContext dirContext = null; try { // 検索するための設定を取得します。 dirContext = new InitialDirContext(env); // 検索範囲の指定 SearchControls searchControls = new SearchControls(); searchControls.setSearchScope(SearchControls.SUBTREE_SCOPE); // 検索フィルタにユーザコードを設定します。 String filter = "cn="; // LDAP でユーザの検索を実行します。 NamingEnumeration<SearchResult> searchResult = dirContext.search(baseDn, filter + userId, searchControls); // 検索結果が存在するかを判定します。 if (searchResult.hasMoreElements()) { SearchResult sr = (SearchResult) searchResult.nextElement(); // ユーザの検索結果を基にパスワードの検証を行う // パスワードを認証情報として LDAP サーバに認証を依頼します。 String userName = sr.getName(); String password = "user_p@ss"; env.put(Context.SECURITY_PRINCIPAL, userName + "," + baseDn); env.put(Context.SECURITY_CREDENTIALS, password); dirContext = new InitialDirContext(env); // ここまで来たら LDAP 認証成功したこととします。 System.out.println("CertificationStatus.CR_OK"); return; } else { System.out.println("ユーザが存在しません. ユーザ名:" + userId); return; } } catch (NamingException e) { // ユーザ検索、パスワードの検証に失敗した場合 System.out.println("ユーザ検索、パスワードの検証に失敗"); e.printStackTrace(); } catch (Exception e) { // その他例外が発生した場合 e.printStackTrace(); } finally { try { dirContext.close(); } catch (NamingException e) { e.printStackTrace(); } } }
■注意点
上記サンプルでは、「ldap://XXXXX.test.local」のようにSSL通信ではない形式で指定しています。
セキュリティの観点から、必ず「ldaps」を利用する事をおすすめします。
又、47行目のパスワードに空を指定した場合、匿名として認証が成功してしまう為、上記サンプルでは行っていませんが、事前に空チェックを行う必要がございます。