Imperva已公开发布域目录控制器（Domain Directory Controller，DDC）的源代码，这是一个Java库，用于简化常见的Active Directory集成。

与Java的LdapContext不同，这个库构建在Apache Directory LDAP之上，旨在简化管理主/辅助服务器连接、查询分页和自动重连接等任务。这个库旨在支持任意规模的组织，包括存在多个Active Directory服务器且没有跨林信任的复杂场景。

DDC还提供了一套基于LDAP查询语法的抽象API。这套API提供了Active Directory字段枚举，为开发人员提供了一种简单的方式来构建静态类型的查询。这种查询的语法非常清晰：

Sentence nameAndDepSentence = queryAssembler
    .addPhrase(FieldType.FIRST_NAME, PhraseOperator.EQUAL,"Gabriel")
    .addPhrase(FieldType.DEPARTMENT, PhraseOperator.EQUAL,"IT")
    .closeSentence(SentenceOperator.AND);
Sentence countrySentence = queryAssembler
    .addPhrase(FieldType.COUNTRY, PhraseOperator.EQUAL,"Italy")
    .closeSentence();
Sentence finalSentence = queryAssembler
    .addSentence(nameAndDepSentence)
    .addSentence(countrySentence)
    .closeSentence(SentenceOperator.OR);

不使用DDC的LDAP查询如下所示：

(&(&(co=Italy)(department=IT)(division=Security))(|(givenName=Gabriel)(givenName=Noam)))

Darren Mar-Elia（14次获得微软MVP称号，同时也是Semperis的产品负责人）解释说，：“每个企业IT部门都希望能够减少应用程序使用的身份标识存储。最常见的是Active Directory、LDAP和Kerberos。”

在使用AD时，缺乏一致的API会导致其自身的问题，而且会导致AD的次优使用和应用程序的脆弱性。这个开源AD库为那些正在寻找以一致和安全的方式将应用程序集成到AD中的标准化组织提供了极大的帮助。

这套查询API还采取措施来缓解LDAP查询的安全问题，例如LDAP注入（远程攻击者通过字符串连接来控制查找过程）。

Active Directory中的一个常见活动是用户/用户组解析。用户组成员身份通常被用来确定某个用户是否应该访问应用程序中的某些资产或权限。随着组织的发展，这种成员资格变得越来越复杂，因为用户的权限变成了授权、角色和嵌套递归用户组的组合。DDC通过ddc-service isMemberOf方法简化了这种复杂的查找。在通过Spring Security或Apache Shiro等通用框架执行身份验证之后，应用程序开发人员可以将其用于细粒度访问控制，以便确定授权。

域目录控制器由首席工程师Gabriel Beyo创建，可在Apache 2许可下使用。

查看英文原文：https://www.infoq.com/news/2019/02/imperva-ad-java

创作场景

Imperva 开源域目录控制器，简化活动目录集成