Atributos Como a maioria das operações no diretório LDAP se concentra em atributos, você precisa entender como usar esses atributos através do JNDI. Os atributos de acesso a LDAP são representados pela interface Atributos, enquanto os atributos individuais são representados pela interface Atributo. Para criar atributos para uso em seu programa, você deve usar as classes BasicAttributes e BasicAttribute. Aqui está um exemplo que cria dois atributos, oc e foto. E coloca-os em um objeto Attributes. Nomes de Atributo Você identifica um atributo através do uso de seu nome de atributo. Que às vezes é chamado de identificador de atributo ou nome do tipo de atributo. A lição de Operações de Diretório discute nomes de atributos, especificamente, abrange subclasse de atributos, sinônimos de nomes de atributos e a sintaxe para especificar preferências de idioma. Esses recursos podem não ser suportados por todas as implementações do servidor LDAP. Os nomes dos atributos LDAP são sensíveis às maiúsculas e minúsculas. Assim, dois nomes de atributos, como objectclass e objectClass. Ambos seriam interpretados para se referir ao mesmo atributo. Se você estiver usando a classe BasicAttributes para representar atributos LDAP, então você deve passar verdadeiro para o parâmetro ignoreCase para seus construtores. Aqui estão alguns exemplos. O LDAP v3 permite que as opções sejam anexadas a um nome de atributo. Cada opção é precedida por um caractere de ponto-e-vírgula (). As opções são como subclasse de atributos. Ou seja, um atributo chamado sem a opção é tratado como a superclasse de um atributo chamado com uma opção. A única opção definida pelo protocolo é binária (indicada usando a string binária), o que significa que o valor dos atributos deve ser transmitido em formato binário (independentemente da sua sintaxe real). Esta opção é reservada para transmissão de dados codificados ASN.1 (como certificados: caCertificatebinary). Os servidores que suportam a subclasse de atributos podem suportar a identificação do atributo sem sua opção binária, mas é melhor incluir sempre a opção binária no nome do atributo. Atributos operacionais O LDAP v3 suporta a noção de atributos operacionais. Que são atributos associados a um objeto de diretório para fins administrativos. A lista de controle de acesso para um objeto, por exemplo, é um atributo operacional. Em DirContext. getAttributes () e DirContext. search (). Você pode fornecer nulo como a lista de atributos para retornar e, portanto, pode especificar que todos os atributos associados aos objetos solicitados sejam retornados. Os atributos devolvidos, no entanto, não incluem atributos operacionais. Para recuperar atributos operacionais, você deve nomeá-los explicitamente. Valores de Atributo Um atributo LDAP pode ter um valor único ou múltiplos valores não ordenados. Se um atributo é permitido ter mais de um valor é ditado pela definição de atributos no esquema de directorys. Ambos os atributos de um único e multivalor são representados no JNDI como um Atributo. No exemplo anterior. Um atributo multivalorado e um atributo de valor único são criados. O JNDI é muito flexível em como os valores de atributos podem ser representados porque esses valores são declarados como java. lang. Object. Quando você usa o JNDI para acessar ou atualizar atributos armazenados em um diretório particular, os tipos de valores de atributos dependem do diretório e, em certa medida, do provedor de serviços correspondente. Para o diretório LDAP, o provedor Suns LDAP representa valores de atributos como java. lang. String ou byte. Os arrays de bytes são usados para representar valores de atributos com sintaxes de atributos sem conexão. As strings são usadas para representar os valores de todas as outras sintaxes. Para um atributo arbitrário, nenhuma maneira programática está disponível para determinar se a sua sintaxe não é variável. Maneiras manuais estão disponíveis, é claro, e envolvem a procura do atributo e sua sintaxe em documentos como RFC 2256. O provedor de serviços LDAP possui uma lista integrada de nomes de atributos que conhece contém valores não limitantes e permite que os clientes adicionem a isso Lista. A tabela a seguir fornece essa lista interna. Quando você lê um desses atributos do diretório LDAP, seu valor será de tipo byte. Especificando Atributos Nonstring Adicionais Se seu programa usa um atributo cujo valor deve ser retornado como uma matriz de bytes, mas o nome dos atributos não está nesta lista, então você precisa adicionar o nome à lista de atributos não relacionados. Você faz isso usando a propriedade java. naming. ldap. attributes. binary environment. Seu valor é uma cadeia de nomes de atributos separados por espaço. Por exemplo, a seguinte configuração de propriedade do ambiente informa o provedor LDAP de que os valores dos atributos chamados mpegVideo e mySpecialKey devem ser retornados como matrizes de bytes: Supressão do Retorno de Valores de Atributos O LDAP v3 permite que você especifique apenas nomes de tipos de atributos (e Não valores de atributo) sejam devolvidos. Para fazer isso usando o JNDI, você define a propriedade de ambiente java. naming. ldap. typesOnly. Essa propriedade afeta DirContext. getAttributes () e DirContext. search (). Quando você especifica que os objetos devem ser retornados (passando true para SearchControls. setReturningObjFlag ()) e depois você invoca search (). Essa propriedade é ignorada porque os valores de atributo são necessários para gerar o objeto. Este é um exemplo que obtém uma lista de nomes de atributos. Este exemplo produz o seguinte output. Attributes com Option Binário Alguns sistemas de diretório aplicam um tratamento especial para certos atributos, de modo que a opção de atributo LDAP binário deve ser usada. A razão para isso: os valores de atributos ou valores de afirmação devem ser BER (Basic Encoding Rules) codificados - caso contrário, os valores são codificados de acordo com a codificação RFC 4517 especificada LDAP para a sintaxe dos atributos. Para sinalizar este tratamento especial, o servidor LDAP devolve esses atributos apenas com a opção binária. As opções LDAP, como a opção binária, geralmente são descritas na especificação LDAP v3 no RFC 4511. Eles são adicionados aos nomes dos atributos como um sufixo sempre que o servidor LDAP e o cliente se comunicam entre si, por exemplo, assim: a opção binária em particular é Descrito na RFC 4522. Às vezes, não é marcado claramente no esquema do diretório quando um atributo requer um tratamento com a opção binária. Nestes casos, você tem a possibilidade de colocar esse atributo na lista de atributos de opção binária nas opções do aplicativo em Ferramentas - Opções - Configurações LDAP: portanto, esses atributos podem ser lidos e escritos sem problemas. Normalmente, você não terá que trabalhar duro nesta lista porque a maioria dos atributos que precisam das opções binárias são predefinidos como valores padrão aqui. Você perceberá quando um atributo precisa ser adicionado a esta lista quando você vê-lo no painel da lista de atributos com a seqüência binária no final do nome dos atributos: Outro sintoma que o alerta para adicionar esse nome de atributo aos Atributos da Opção Binária Lista: ocorre um erro de protocolo se você quiser escrever um atributo sem a opção binária: ldapgetvalueslen Apenas uma pequena atualização para a nota abaixo de jhgustafsson no campo objectGUID. Indo um passo adiante, às vezes é útil exibir este GUID como String e a Microsoft possui um artigo de suporte e um script detalhando como converter objectGUID de Hex para String. Esse artigo está aqui: support. microsoftdefault. aspxscidkb3Ben-us3B325649 Abaixo está uma função PHP que faz o mesmo que o script Microsofts VB, ele leva entrada de objectGUID em formato binário e retorna formatado como uma string (depois de convertê-lo em Hex como um Passo do meio). Isso retornará o valor exato do objetoGUID que é exibido para qualquer objeto do Active Directory no ADUC. Exemplo de saída: 3f79048f-42cd-4c77-8426-835cd9f8a3ad função GUIDtoStr (binaryguid) hexagid desembalar (Hhex, binaryguid) hex hexguidhex hex1 substr (hex, -26, 2). Substr (hex, -28, 2). Substr (hex, -30, 2). Substr (hex, -32, 2) hex2 substr (hex, -22, 2). Substr (hex, -24, 2) hex3 substr (hex, -18, 2). Substr (hex, -20, 2) hex4 substr (hex, -16, 4) hex5 substr (hex, -12, 12) guidstr hex1. -. Hex2. -. Hex3. -. Hex4. -. Hex5 Para elaborar na publicação rcrows, se você deseja converter o valor objectSID em uma seqüência utilizável (do Active Directory), a seguinte função fará o truque (isto foi emprestado de outra seção do manual, apenas pensei que o adicione aqui): Retorna a função SID textual bintostrsid (binsid) hexsid bin2hex (binsid) rev hexdec (substr (hexsid, 0, 2)) subcount hexdec (substr (hexsid, 2, 2)) auth hexdec (substr (hexsid, 4, 12)) Resultado rev-auth para (x0x lt subcount x) subauthx hexdec (this-gtlittleendian (substr (hexsid, 16 (x 8), 8))) resultado. -. Subauthx Cheat pegando no S - retorno S-. Resultado Converte um número hexadecimal pequeno para um, que o hexdec pode converter a função littleendian (hex) para o resultado (x strlen (hex) - 2 x gt 0 x x - 2). Resultado de retorno substr (hex, x, 2) Esta função não está relacionada com a função ldapgetvalueslen, mas ainda é útil se você deseja converter o valor binário objectGUID para um formato de string (convertido de alguns vbscript fornecidos por Richard Mueller): Esta função será Converta um guia de valor binário em uma string válida. Função bintostrguid (objectguid) hexguid bin2hex (objectguid) hexguidtoguidstrfor (k 1 k lt 4 k) hexguidtoguidstr. Substr (hexguid, 8 - 2 k, 2) hexguidtoguidstr. - para (k 1 k lt 2 k) hexguidtoguidstr. Substr (hexguid, 12 - 2 k, 2) hexguidtoguidstr. - para (k 1 k lt 2 k) hexguidtoguidstr. Substr (hexguid, 16 - 2 k, 2) hexguidtoguidstr. -. Substr (hexguid, 16, 4) hexguidtoguidstr. -. Substr (hexguid, 20) Heres um exemplo sobre como usar ambos: estabelecer a conexão e especificar o basedn primeiro. Há muitos exemplos no manual para este srldapsearch (this-gtconn, this-gtbasedn, filter, fields) entradas ldapgetentries (this-gtconn, sr) if (inarray (objectguid, fields)) entries0objectguid0 this-gtbintostrguid (entries0objectguid0) Se (inarray (objectsid, fields)) entrada ldapfirstentry (this-gtconn, sr) objectsidbinary ldapgetvalueslen (this-gtconn, entry, objectsid) entries0objectsid0 this-gtbintostrsid (objectsidbinary0) Espero que isso ajude alguém a solução Hi Here para WINDOWS objectsid: LIB. Classe LDAPOBJECTSID função pública toString (SIDBINARY) dividir strsplit (SIDBINARY, 8) hexArray array () foreach (dividir como chave gt byte) hexArraykey strToUpper (substr (0.dechex (bindec (byte)), -2)) BLOCKCOUNT hexdec (hexArray1 ) DECGROUPSUB-ID-BLOCKS array () para (i0 iltBLOCKCOUNT i) deslocamento 8 (4 i) DECGROUPSUB-ID-BLOCKSi array () DECGROUPSUB-ID-BLOCKSi1 hexdec (hexArrayoffset3) DECGROUPSUB-ID-BLOCKSi2 hexdec (hexArrayoffset2) DECGROUPSUB-ID - BLOCKSi3 hexdec (hexArrayoffset1) DECGROUPSUB-ID-BLOCKSi4 hexdec (hexArrayoffset) SID S-.hexdec (hexArray0) .-. This-gtbyte6ToLong (hexdec (hexArray2), hexdec (hexArray3), hexdec (hexArray4), hexdec (hexArray5), Hexdec (hexArray6), hexdec (hexArray7)) foreach (DECGROUPSUB-ID-BLOCKS as BLOCK) SID. -.this-gtbyte4ToLong (bloco1, block2, Block3, Block4) retornar SID byte6ToLong função privada (b1, b2, b3, b4, b5, b6) byte6ToLong b1 byte6ToLong byte6ToLong256 b2 b3 byte6ToLong byte6ToLong256 byte6ToLong byte6ToLong256 b4 byte6ToLong byte6ToLong256 b5 byte6ToLong byte6ToLong256 retorno b6 Byte6ToLong função privada byte4ToLong (b1, b2, b3, b4) byte4ToLong b1 byte4ToLong byte4ToLong256 b2 byte4ToLong byte4ToLong256 b3 byte4ToLong byte4ToLong256 b4 return byte4ToLong srldapsearch (conexão, base, filtro, campos) entrada ldapfirstentry (conn, sr) objectsidbinary ldapgetvalueslen (conn, entry, Objectid) Obj novo LDAPOBJECTSID () echo Obj-gttoString (objectsidbinary0) RE: Opção binária LDAP não-op David, concordo com o resumo do problema que você forneceu abaixo. Em termos de interoperabilidade ldapv3 básica, o binário foi o problema número 1 que encontrei. Eu prefiro uma solução que define quotuserCertificatebinaryquot e quotuserCertificatequot para ter o mesmo significado. Ou seja, um pedido para userCertificate retornará o mesmo valor codificado binário como uma solicitação para userCertificatebinary (e a descrição do atributo retornada será userCertificatebinary se userCertificatebinary for solicitado). ----- Mensagem Original ----- De: dwchadwicksalford. ac. uk mailto: dwchadwicksalford. ac. uk Enviado: quinta-feira, 21 de novembro de 2002 16:52 Para: steve. hannasun rweisertrustdst Cc: Housley, Russ steve. hannaEast. Sun Hallvard B Furuseth ietf-pkiximc. org Ramsay, Ron Assunto: Re: Opção binária LDAP não-op Data de envio: Qua, 20 Nov 2002 16:39:26 -0700 De: Russel F Weiser ltrweisertrustdstgt Enviar resposta Para: rweisertrustdst Organização: assinatura digital Confiar em: steve. hannasun Cópias para: quotHousley, Russquot ltrhousleyrssecuritygt, steve. hannaEast. Sun, Hallvard B Furuseth lth. b.furusethusit. uio. nogt, ietf-pkiximc. org, quotRamsay, Ronquot ltRon. Ramsaycagt Assunto: Re: Opção binária LDAP não-op gt Eu concordo plenamente com a solução Hallvards. Gt Cheers gt Russel F Weiser gt Isto seria bom se userCertificatebinary fosse implementado por todas as implementações LDAPv3 de acordo com as especificações. Mas não é. Nem é garantido que os servidores LDAP tratam uma solicitação LDAPv2 para userCertificate o mesmo que uma solicitação v3 para userCertificatebinary. O que eles deveriam. Estas são algumas das razões pelas quais o tópico completo do binário foi re-visitado pelo LDAPBIS no início deste ano. Chris Oliver da Entrust fez um monte de testes de interoperabilidade e encontrou muitos problemas e problemas nas implementações LDAP. Eu estaria interessado em Chriss visões da proposta de Hallvards David gt gt Steve Hanna escreveu: gt gt gt gt Russ Housley escreveu: gt gt gtI realmente não me importo desde que concordemos com uma maneira de fazê-lo. Podemos ter gt gt gt com uma estratégia de transição, uma vez que haja um padrão acordado. Gt gt gtcannot aceito várias formas de pedir as mesmas coisas. Gt gt gt gt Precisamos suportar userCertificatebinary porque isso é o que gt gt as especificações e implementações atuais suportam. O grupo de trabalho LDAPBIS gt gt quer transição para userCertificate. Gt gt gt gt Eu não acho que seja possível atender a ambos os requisitos gt gt sem ter duas maneiras de acessar o atributo. Por que é tão importante ter apenas uma maneira Não seria uma transição suave gt gt de userCertificatebinary para userCertificate ser preferível gt gt Você tem alguma idéia melhor Se assim for, por favor, apresente. Gt gt gt gt Caso contrário, sugiro que usemos a solução mais simples da Hallvards: gt gt Novos servidores DEVEM apoiar o userCertificate ou userCertificatebinary gt gt e tratá-los como idênticos. Os clientes DEVEM usar userCertificatebinary. Gt gt Uma vez que os servidores antigos se foram, podemos dizer que os clientes DEVEM usar gt uso userCertificate. Gt gt gt gt - Tveve
No comments:
Post a Comment