那些遇到过的问题

Jetty - JAAS和Active Directory - 仅限身份验证?

mor*_*ron 5 java active-directory jaas

我正在开发一个非常简单的Java应用程序,需要使用用户名和密码进行保护.我必须使用Active Directory进行身份验证.我只能允许经过身份验证的用户访问它.我不需要任何类型的组/角色检查来确定用户可能看到的内容.我正在使用JETTY来运行该应用程序.

我一直在尝试用Jetty实现LDAP登录模块已经有一段时间了.但每次我提交登录表单时,我都会收到403错误的"!role"消息.

HTTP ERROR 403

Problem accessing /JAAS/. Reason:

    !role
Run Code Online (Sandbox Code Playgroud)

提交登录表单时Jetty标准输出:

2013-07-18 19:28:47.035:INFO:oejpjs.LdapLoginModule:Searching for users with filter: '(&(objectClass={0})({1}={2}))' from base dn: DC=mydomain,DC=test,DC=local
2013-07-18 19:28:47.041:INFO:oejpjs.LdapLoginModule:Found user?: true
2013-07-18 19:28:47.042:INFO:oejpjs.LdapLoginModule:Attempting authentication: CN=User Name,OU=ADMIN_HOME,DC=mydomain,DC=test,DC=local
Run Code Online (Sandbox Code Playgroud)

我提交登录表单时的Jetty日志文件(我输入的用户名出现在日志中,因此部分验证似乎有效):

0:0:0:0:0:0:0:1 -  -  [18/Jul/2013:17:28:38 +0000] "GET /JAAS/ HTTP/1.1" 302 0 
0:0:0:0:0:0:0:1 -  -  [18/Jul/2013:17:28:38 +0000] "GET /JAAS/login.html HTTP/1.1" 304 0 
0:0:0:0:0:0:0:1 -  -  [18/Jul/2013:17:28:47 +0000] "POST /JAAS/j_security_check HTTP/1.1" 302 0 
0:0:0:0:0:0:0:1 - username [18/Jul/2013:17:28:47 +0000] "GET /JAAS/ HTTP/1.1" 403 1362
Run Code Online (Sandbox Code Playgroud)

提取security-constraint和security-roke的web.xml的摘录:

<security-constraint>
    <web-resource-collection>
         <web-resource-name>Entire Application</web-resource-name>
         <url-pattern>/*</url-pattern>
    </web-resource-collection>

    <auth-constraint>
       <role-name>*</role-name>
    </auth-constraint>
  </security-constraint>

    <security-role>
        <role-name>*</role-name>
    </security-role>

    <security-role>
        <role-name>Domain Users</role-name>
    </security-role>

    <security-role>
        <role-name>MyLocalGroup</role-name>
    </security-role>
Run Code Online (Sandbox Code Playgroud)

LDAP登录模块配置文件(ldaploginmodule.conf):

myloginmodule {
   org.eclipse.jetty.plus.jaas.spi.LdapLoginModule required
   debug="true"
   debugNative="true"
   contextFactory="com.sun.jndi.ldap.LdapCtxFactory"
   hostname="ldapserver"
   port="389"
   bindDn="CN=Administrator,CN=Users,DC=mydomain,DC=test,DC=local"
   bindPassword="secret"
   directGroupExtraction="true"
   userGroupAttribute="cn"
   allRolesMode="authOnly"
   userFilter="(objectClass=organizationalPerson)"
   authenticationMethod="simple"
   forceBindingLogin="true"
   userBaseDn="DC=mydomain,DC=test,DC=local"
   userRdnAttribute="cn"
   userIdAttribute="sAMAccountName"
   userPasswordAttribute="unicodePwd"
   userObjectClass="user"
   roleSearch="(member={0})" 
   roleName="cn" 
   roleSubtree="true"
   roleBaseDn="CN=Users,DC=mydomain,DC=test,DC=local";
   };
Run Code Online (Sandbox Code Playgroud)

Jetty领域配置(my-jaas.xml):

<Configure id="Server" class="org.eclipse.jetty.server.Server">

    <!-- JAAS TEST -->
    <Call name="addBean">
       <Arg>
          <New class="org.eclipse.jetty.plus.jaas.JAASLoginService">
             <Set name="Name">Test JAAS Realm</Set>
             <Set name="LoginModuleName">myloginmodule</Set>

             <Set name="roleClassNames">
                <Array type="java.lang.String">
                   <Item>org.eclipse.jetty.plus.jaas.JAASRole</Item>
                </Array>
             </Set>

          </New>
      </Arg>
    </Call>

</Configure>
Run Code Online (Sandbox Code Playgroud)

最后,jetty启动命令:

java -Xdebug -Djava.naming.referral=follow -Djava.security.auth.login.config=etc/ldaploginmodule.conf -jar start.jar etc/my-jaas.xml
Run Code Online (Sandbox Code Playgroud)

我检查了Windows安全事件日志,我确实看到了一个成功的审核条目,用于登录表单中提供的用户登录.

问题是,我不需要任何角色.我只想执行身份验证并允许所有经过身份验证的用户访问该应用程序.

知道如何才能进行身份验证并避免角色吗?我正在考虑覆盖LdapLoginModule类并强制我将在web.xml中声明的"虚拟"角色.但我不确定这是否是正确的方法.

小智 0

您的身份验证成功。

由于您希望允许所有经过身份验证的用户访问所有内容,因此您仍然需要像您所做的那样保护 URL 模式 /* 。您可以使用 RegExpAuthorizationFilter (请参阅https://wiki.apache.org/solr/SolrSecurity)。现在,他们不将此类包含在常规发行版中。我在这里找到了代码(https://issues.apache.org/jira/secure/attachment/12572819/SOLR-4470_branch_4x_r1454444.patch)并且它很容易编译。

配置过滤器时,请为任意角色指定一个任意(不存在,例如 /abcde)URL 模式。它的工作方式是查看所请求的 URL 是否与此模式匹配。既然没有,它就继续前进。但没有更多的规则,并且允许访问。

因此,它需要对所有 URL 进行身份验证,但身份验证成功后,所有有效 URL 都将可以访问。

我的设置是在 Jetty 上运行的 solr 环境中进行的。但是,我认为我的所有配置都与 web.xml 等标准内容相关。

归档时间:

查看次数:

4303 次

最近记录:

7 年,3 月 前
相关归档
如何检查Java中是否存在文件? 802
集合的hashCode方法的最佳实现 292
最佳实践:在setUp()或声明中初始化JUnit类字段? 113
Retrofit 2.0如何获得反序列化的错误响应.body 103
如何将org.w3c.dom.Document对象转换为String? 78
JPA实体经理应该关闭吗? 73
Java 8的字符串重复数据删除功能 62
Java - 打印2D阵列的最佳方式? 52
Java中long,double,byte,char的目的是什么? 46
Active Directory安全组和用户角色更改的时间延迟 6
难疑归档
Reference — What does this symbol mean in PHP? 4314
让现有的Git分支跟踪一个远程分支? 3437
如何按值对字典进行排序? 3424
使用JavaScript获取当前网址? 2882
在一行中初始化ArrayList 2626
finally块总是在Java中执行吗? 2281
如何在JavaScript中清空数组? 2198
Python中的静态方法? 1639
如何分析Python脚本? 1203
如何在Ruby中将字符串转换为小写或大写 1081