背景

项目为Java Web工程，标准的后台管理界面程序。业务上需要增加对Active Directory中组织和人员的操作。本文记录了spring ldap和Active Directory的集成过程和注意事项。

配置

前置条件

Active Directory已提供LDAP访问和SSL支持

配置Java工程

• 增加pom依赖

        <dependency>
            <groupId>org.springframework.ldap</groupId>
            <artifactId>spring-ldap-core</artifactId>
            <version>2.3.1.RELEASE</version>
        </dependency>

• 配置spring bean

<bean id="contextSourceTarget" class="org.springframework.ldap.core.support.LdapContextSource">
    <property name="url" value="ldaps://192.168.1.234:636" />
    <property name="base" value="OU=华车,DC=cloud,DC=com" />
    <property name="userDn" value="CN=Administrator,CN=Users,DC=cloud,DC=com" />
    <property name="password" value="changit" />
</bean>

<bean id="contextSource"
    class="org.springframework.ldap.transaction.compensating.manager.TransactionAwareContextSourceProxy">
    <constructor-arg ref="contextSourceTarget" />
</bean>
<bean id="ldapTemplate" class="org.springframework.ldap.core.LdapTemplate">
    <constructor-arg ref="contextSource" />
</bean>

<bean id="personRepo" class="com.cloud.iaas.core.ldap.repo.impl.PersonRepoImpl">
      <property name="ldapTemplate" ref="ldapTemplate" />
</bean>

如上，personRepo被注入了ldapTemplate，就可以使用这个工具来进行ldap操作。
注意以上是通过SSL连接的，因为对AD的写操作必须通过SSL进行，如果是只读的话可以通过普通连接。

SSL的配置

1. 首先从Active Directory导出证书，登录AD所在机器，可以使用如下命令

certutil -ca.cert client.crt 

2. 将生成的文件导入java的keystore，可使用如下命令

keytool -import -file client.crt -keystore d:\cacerts -alias adcert -storepass yourpassword

以上即把证书导入了keystore里，这个keystore位于 d:\cacerts， 在下一步会用到

3. 设定Java运行的环境变量，使得运行中能获取这个证书。有两种方式，

-Djavax.net.ssl.trustStore="<keystore文件路径>"
-Djavax.net.ssl.trustStorePassword="<keystore访问密码>"

或者

System.setProperty("javax.net.ssl.trustStore","<keystore文件路径>");
System.setProperty("javax.net.ssl.trustStorePassword","<keystore访问密码>");

这样就可以通过SSL访问Active Directory了。

LDAP访问操作

具体使用方式可参考Spring-LDAP文档