Atributos com opção binária Alguns sistemas de diretório impõem um tratamento especial para determinados atributos, de modo que o atributo de atributo LDAP binário deve ser usado. A razão para isso: Os valores de atributo ou valores de atribuição devem ser BER (Basic Encoding Rules) codificado - caso contrário, os valores são codificados de acordo com a codificação específica LDAP RFC 4517 para a sintaxe de atributos. Para sinalizar este tratamento especial, o servidor LDAP retorna esses atributos somente com a opção binária. As opções LDAP como a opção binária são geralmente descritas na especificação LDAP v3 na RFC 4511. Eles são adicionados aos nomes dos atributos como um sufixo sempre que o servidor LDAP eo cliente se comunicam entre si, por exemplo, como este: A opção binária em particular é Descrito na RFC 4522. Às vezes não é marcado claramente no esquema de diretório quando um atributo requer um tratamento com a opção binária. Nestes casos, você tem a possibilidade de colocar tal atributo na lista de Atributos de Opções Binárias nas opções do aplicativo em Ferramentas - Opções - Configurações LDAP: Portanto, esses atributos podem ser lidos e gravados sem problemas. Normalmente, você não terá que trabalhar duro nesta lista porque a maioria dos atributos que precisa das opções binárias são predefinidos como valores padrão aqui. Você vai perceber quando um atributo precisa ser adicionado a esta lista quando você vê-lo no painel de lista de atributos com a seqüência de caracteres binário no final do nome de atributos: Outro sintoma que alerta você para adicionar esse nome de atributo para os atributos de opção binária Lista: Um erro de protocolo ocorre se você quiser gravar tal atributo sem a opção binária: Atributos Como a maioria das operações no diretório LDAP se concentram em atributos, você precisa entender como usar esses atributos através do JNDI. Um LDAP entrys atributos são representados pela interface Attributes, enquanto que os atributos individuais são representados pela interface Attribute. Para criar atributos para uso em seu programa, você deve usar as classes BasicAttributes e BasicAttribute. Aqui está um exemplo que cria dois atributos, oc e foto. E os coloca em um objeto Attributes. Atributo Nomes Você identifica um atributo através do uso de seu nome de atributo. Que às vezes é chamado de identificador de atributo ou nome do tipo de atributo. A lição de Operações de Diretório discute nomes de atributos, especificamente, abrange subclassificação de atributos, sinônimos de nomes de atributos ea sintaxe para especificar preferências de idioma. Esses recursos podem não ser suportados por todas as implementações do servidor LDAP. Os nomes de atributo LDAP não diferenciam maiúsculas de minúsculas. Assim, dois nomes de atributos, como objectclass e objectClass. Ambos seriam interpretados para se referir ao mesmo atributo. Se você estiver usando a classe BasicAttributes para representar atributos LDAP, então você deve passar true para o parâmetro ignoreCase para seus construtores. Aqui estão alguns exemplos. O LDAP v3 permite que as opções sejam anexadas a um nome de atributo. Cada opção é precedida por um ponto-e-vírgula (). As opções são como subclassificação de atributos. Ou seja, um atributo chamado sem a opção é tratado como a superclasse de um atributo nomeado com uma opção. A única opção definida pelo protocolo é binária (indicada usando a string binária), o que significa que o valor dos atributos deve ser transmitido em formato binário (independentemente da sua sintaxe real). Esta opção é reservada para transmissão de dados codificados ASN.1 (como certificados: caCertificatebinary). Os servidores que suportam subclassificação de atributos podem suportar a identificação do atributo sem a sua opção binária, mas é melhor incluir sempre a opção binária no nome do atributo. Atributos Operacionais O LDAP v3 suporta a noção de atributos operacionais. Que são atributos associados a um objeto de diretório para fins administrativos. A lista de controle de acesso para um objeto, por exemplo, é um atributo operacional. Em DirContext. getAttributes () e DirContext. search (). Você pode fornecer null como a lista de atributos para retornar e, portanto, pode especificar que todos os atributos associados com os objetos solicitados sejam retornados. Os atributos retornados, no entanto, não incluem atributos operacionais. Para recuperar atributos operacionais, você deve nomeá-los explicitamente. Valores de atributo Um atributo LDAP pode ter um único valor ou vários valores não ordenados. Se um atributo tem permissão para ter mais de um valor é ditado pela definição de atributos no esquema do directorys. Ambos atributos simples e multivalorados são representados no JNDI como um Atributo. No exemplo anterior. Um atributo multivalorado e um atributo de valor único são criados. O JNDI é muito flexível em como valores de atributos podem ser representados porque esses valores são declarados como java. lang. Object. Quando você usa o JNDI para acessar ou atualizar atributos armazenados em um determinado diretório, os tipos de valores de atributo dependem do diretório e, em certa medida, no provedor de serviços correspondente. Para o diretório LDAP, o provedor Suns LDAP representa valores de atributos como java. lang. String ou byte. Arrays de bytes são usados para representar valores de atributos com sintaxes de atributos nonstring. As strings são usadas para representar os valores de todas as outras sintaxes. Para um atributo arbitrário, nenhuma maneira programática está disponível para determinar se sua sintaxe é nonstring. Caminhos manuais estão disponíveis, é claro, e envolvem pesquisar o atributo ea sua sintaxe em documentos como o RFC 2256. O provedor de serviços LDAP tem uma lista interna de nomes de atributos que ele sabe conter valores nonstring e permite que os clientes adicionem a esse Lista. A tabela a seguir fornece essa lista embutida. Quando você ler um desses atributos do diretório LDAP, seu valor será do tipo byte. Especificando Atributos de Nonstring Adicionais Se seu programa usa um atributo cujo valor deve ser retornado como uma matriz de bytes, mas o nome de atributos não está nessa lista, então você precisa adicionar o nome à lista de atributos de nonstring. Você faz isso usando a propriedade de ambiente java. naming. ldap. attributes. binary. Seu valor é uma seqüência de nomes de atributos separados por espaços. Por exemplo, a seguinte configuração de propriedade do ambiente informa ao provedor LDAP que os valores dos atributos chamados mpegVideo e mySpecialKey devem ser retornados como arrays de bytes: Suprimindo o Retorno de Valores de Atributo O LDAP v3 permite especificar que apenas nomes de tipos de atributos Não valores de atributo) ser retornado. Para fazer isso usando o JNDI, você definir a propriedade de ambiente java. naming. ldap. typesOnly. Esta propriedade afeta DirContext. getAttributes () e DirContext. search (). Quando você especifica que os objetos devem ser retornados (passando true para SearchControls. setReturningObjFlag ()) e, em seguida, você invoca search (). Essa propriedade é ignorada porque os valores de atributo são necessários para gerar o objeto. Heres um exemplo que obtém uma lista de um entrys atributo nomes. Este exemplo produz o seguinte output. ldapgetvalueslen Apenas uma atualização menor para a nota abaixo de jhgustafsson sobre o campo objectGUID. Indo mais longe, às vezes é útil exibir esse GUID como uma seqüência de caracteres e a Microsoft tem um artigo de suporte e um script que detalha como converter objectGUID de Hex para String. Este artigo está aqui: support. microsoftdefault. aspxscidkb3Ben-us3B325649 Abaixo está uma função PHP que faz a mesma coisa que o script Microsofts VB, ele toma entrada de objectGUID em formato binário e retorna formatado como uma string (depois de convertê-lo para Hex como um Passo médio). Isso retornará o valor de objectGUID exato que é exibido para qualquer objeto do Active Directory no ADUC. Exemplo de saída: 3f79048f-42cd-4c77-8426-835cd9f8a3ad função GUIDtoStr (binaryguid) hexagud descompactar (Hhex, binaryguid) hex hexagúdico hex1 substr (hex, -26, 2). Substr (hex, -28, 2). Substr (hex, -30, 2). Substr (hex, -32, 2) hex2 substr (hex, -22, 2). Substr (hex, -24, 2) hex3 substr (hex, -18, 2). Substr (hex, -20, 2) hex4 substr (hex, -16, 4) hex5 substr (hex, -12, 12) guidstr hex1. -. Hex2. -. Hex3. -. Hex4 -. Hex5 Para elaborar no post rcrows, se você quiser converter o valor objectSID para uma seqüência utilizável (a partir do Active Directory) a seguinte função fará o truque (este foi emprestado de outra seção do manual, apenas pensamento Id adicioná-lo aqui): Retorna a função textual SID bintostrsid (binsid) hexsid bin2hex (binsid) rev hexdec (substr (hexsid, 0, 2)) subconta hexdec (substr (hexsid, 2, 2) Resultado rev-auth para (x0x lt subcount x) subauthx hexdec (este-gtlittleendian (substr (hexsid, 16 (x 8), 8))) resultado. -. Subauthx Batota furando no S-retorno S-. Result Converte um número hexadecimal de little-endian para um, que hexdec pode converter função littleendian (hex) para (x strlen (hex) - 2 x gt 0 x x - 2) resultado. Esta função não está relacionada com a função ldapgetvalueslen, mas continua útil se você quiser converter o valor binário objectGUID em um formato de seqüência de caracteres (convertido a partir de algum vbscript fornecido por Richard Mueller): Esta função será Converter um guia de valor binário em uma seqüência de caracteres válida. Função bintostrguid (objeto) hexguid bin2hex (objeto) hexguidtoguidstr para (k 1 k lt 4 k) hexguidtoguidstr. Substr (hexágono, 8 - 2 k, 2) hexguidtoguidstr. - para (k 1 k lt 2 k) hexguidtoguidstr. Substr (hexágono, 12 - 2 k, 2) hexguidtoguidstr. - para (k 1 k lt 2 k) hexguidtoguidstr. Substr (hexágono, 16 - 2 k, 2) hexguidtoguidstr. -. Substr (hexágono, 16, 4) hexguidtoguidstr. -. Substr (hexguid, 20) Heres um exemplo sobre como usar ambos: estabelecer a conexão e especificar o basedn primeiro. Há muitos exemplos no manual para este srldapsearch (this-gtconn, this-gtbasedn, filter, fields) entradas ldapgetentries (this-gtconn, sr) se (inarray (objectguid, fields)) entries0objectguid0 this-gtbintostrguid (entries0objectguid0) If (inarray (objectsid, fields)) entrada ldapfirstentry (this-gtconn, sr) objectsidbinary ldapgetvalueslen (this-gtconn, entry, objectos) entry0objectsid0 this-gtbintostrsid (objectsidbinary0) Espero que isso ajude alguém Hi Aqui solução para WINDOWS objectsid: LIB. Classe LDAPOBJECTSID função pública toString (SIDBINARY) split strsplit (SIDBINARY, 8) matriz hexArray () foreach (divisão como chave gt byte) hexArraykey strToUpper (substr (0.dechex (bindec (byte))) BLOCKCOUNT hexdec (hexArray1 ) DECGROUPSUB-ID-BLOCKSi1 hexdec (hexArrayoffset3) DECGROUPSUB-ID-BLOCKSi2 hexdec (hexArrayoffset2) DECGROUPSUB-ID-BLOCKS array () para (i0 iltBLOCKCOUNT i) offset 8 (4 i) DECGROUPSUB-ID-BLOCKSi (HexArray2), hexdec (hexArray3), hexdec (hexArray4), hexdec (hexArray5), hexdec (hexArray5), hexdec (hexArray), hexdec (hexArrayoffset1) Hexdec (hexArray6), hexdec (hexArray7)) foreach (DECGROUPSUB-ID-BLOCKS como BLOCK) SID. -.this-gtbyte4ToLong (bloco1, block2, Block3, Block4) retornar SID byte6ToLong função privada (b1, b2, b3, b4, b5, b6) byte6ToLong b1 byte6ToLong byte6ToLong256 b2 b3 byte6ToLong byte6ToLong256 byte6ToLong byte6ToLong256 b4 byte6ToLong byte6ToLong256 b5 byte6ToLong byte6ToLong256 retorno b6 Byte6ToLong função privada byte4ToLong (b1, b2, b3, b4) byte4ToLong b1 byte4ToLong byte4ToLong256 b2 byte4ToLong byte4ToLong256 b3 byte4ToLong byte4ToLong256 b4 retorno byte4ToLong srldapsearch (conn, basedn, filter, fields) entrada ldapfirstentry (conn, sr) objectsidbinary ldapgetvalueslen (conn, Objectsid) Obj novo LDAPOBJECTSID () echo Obj-gttoString (objectsidbinary0)
No comments:
Post a Comment