Imperva 开源域目录控制器，简化活动目录集成

Imperva 已公开发布域目录控制器（Domain Directory Controller，DDC）的源代码，这是一个 Java 库，用于简化常见的 Active Directory 集成。

与 Java 的 LdapContext 不同，这个库构建在 Apache Directory LDAP 之上，旨在简化管理主/辅助服务器连接、查询分页和自动重连接等任务。这个库旨在支持任意规模的组织，包括存在多个 Active Directory 服务器且没有跨林信任的复杂场景。

DDC 还提供了一套基于 LDAP 查询语法的抽象 API。这套 API 提供了 Active Directory 字段枚举，为开发人员提供了一种简单的方式来构建静态类型的查询。这种查询的语法非常清晰：

Sentence nameAndDepSentence = queryAssembler    .addPhrase(FieldType.FIRST_NAME, PhraseOperator.EQUAL,"Gabriel")    .addPhrase(FieldType.DEPARTMENT, PhraseOperator.EQUAL,"IT")    .closeSentence(SentenceOperator.AND);Sentence countrySentence = queryAssembler    .addPhrase(FieldType.COUNTRY, PhraseOperator.EQUAL,"Italy")    .closeSentence();Sentence finalSentence = queryAssembler    .addSentence(nameAndDepSentence)    .addSentence(countrySentence)    .closeSentence(SentenceOperator.OR);

不使用 DDC 的 LDAP 查询如下所示：

(&(&(co=Italy)(department=IT)(division=Security))(|(givenName=Gabriel)(givenName=Noam)))

Darren Mar-Elia（14 次获得微软 MVP 称号，同时也是 Semperis 的产品负责人）解释说，：“每个企业 IT 部门都希望能够减少应用程序使用的身份标识存储。最常见的是 Active Directory、LDAP 和 Kerberos。”

在使用 AD 时，缺乏一致的 API 会导致其自身的问题，而且会导致 AD 的次优使用和应用程序的脆弱性。这个开源 AD 库为那些正在寻找以一致和安全的方式将应用程序集成到 AD 中的标准化组织提供了极大的帮助。

这套查询 API 还采取措施来缓解 LDAP 查询的安全问题，例如LDAP注入（远程攻击者通过字符串连接来控制查找过程）。

Active Directory 中的一个常见活动是用户/用户组解析。用户组成员身份通常被用来确定某个用户是否应该访问应用程序中的某些资产或权限。随着组织的发展，这种成员资格变得越来越复杂，因为用户的权限变成了授权、角色和嵌套递归用户组的组合。DDC 通过 ddc-service isMemberOf 方法简化了这种复杂的查找。在通过 Spring Security 或Apache Shiro等通用框架执行身份验证之后，应用程序开发人员可以将其用于细粒度访问控制，以便确定授权。

域目录控制器由首席工程师 Gabriel Beyo 创建，可在 Apache 2 许可下使用。

查看英文原文：https://www.infoq.com/news/2019/02/imperva-ad-java