具有多用户OU和多访问CNs的java Spring LDAP身份验证
如何尽可能使用Spring Security/LDAP解决以下LDAP身份验证情况
用户属于两个LDAP组织单位之一(ou):客户或员工
用户属于三个访问组之一(cn-groupofuniquenames)或其子组(cn)
所以基本上是:
在LDAP中查找用户的DN(客户端或员工)
绑定用户以检查密码
逐个搜索所有3个访问组及其子组,以查找具有用户DN的uniquename属性
我研究了各种教程和示例,但它们似乎都没有关联,我无法将它们结合起来。若访问组是一个组织单位,那个么会更容易,但事实并非如此
整个页面及其所有servlet都应该支持身份验证
这个问题有点具体,但希望对社区有用。欢迎提出任何意见或建议
我当前使用的代码是spring文档中的修改版本
<bean id="roleVoter" class="org.springframework.security.access.vote.RoleVoter">
<property name="rolePrefix" value=""></property>
</bean>
<bean id="accessDecisionManager" class="org.springframework.security.access.vote.AffirmativeBased">
<constructor-arg name="decisionVoters" ref="roleVoter" />
</bean>
<security:http authentication-manager-ref="ldap-auth" access-decision-manager-ref="accessDecisionManager">
<security:intercept-url pattern="/site/**" access="LDAP-Access-Group" />
<security:form-login
login-page="/login"
authentication-failure-url="/denied"
username-parameter="username"
password-parameter="password"
default-target-url="/site/main" />
<security:logout
invalidate-session="true"
logout-success-url="/login"
logout-url="/j_spring_security_logout" />
<security:access-denied-handler error-page="/denied" />
<security:session-management invalid-session-url="/login">
<security:concurrency-control max-sessions="1" expired-url="/login" />
</security:session-management>
</security:http>
<bean id="contextSource" class="org.springframework.security.ldap.DefaultSpringSecurityContextSource">
<constructor-arg value="ldap://server:389/o=company,c=com"/>
</bean>
<security:authentication-manager id="ldap-auth">
<security:authentication-provider ref="ldapAuthProvider" />
</security:authentication-manager>
<bean id="ldapAuthProvider" class="org.springframework.security.ldap.authentication.LdapAuthenticationProvider">
<constructor-arg>
<bean class="org.springframework.security.ldap.authentication.BindAuthenticator">
<constructor-arg ref="contextSource"/>
<property name="userDnPatterns">
<list>
<value>uid={0},ou=Employees</value>
<value>uid={0},ou=Clients</value>
</list>
</property>
</bean>
</constructor-arg>
<constructor-arg>
<bean class="org.springframework.security.ldap.userdetails.DefaultLdapAuthoritiesPopulator">
<constructor-arg ref="contextSource"/>
<constructor-arg value="ou=Access"/>
<property name="searchSubtree" value="true"/>
<property name="groupRoleAttribute" value="cn" />
</bean>
</constructor-arg>
</bean>
上面的代码似乎没有返回权限。有没有办法将输出发送到调试控制台?无法读取LDAP日志
此外,如果我注释掉authoritespopulator,那么在检查安全标记时,身份验证似乎有效,即<sec:authorize access="isAuthenticated()">logged in</sec:authorize>,但出于某种原因,拦截url阻止我使用<security:intercept-url pattern="/site/**" access="isAuthenticated()" />进入站点。我不明白
# 1 楼答案
主要问题似乎是在^{中指定搜索基参数。在DefaultLdapAuthoritiesPopulator bean中将值更改为“”解决了问题,并开始返回用户权限
# 2 楼答案
步骤1和2是LDAP身份验证的实际默认值
关于第3步:一些LDAP服务器为组及其成员保持互惠关系。因此,当用户被添加到组中时,组上的
member属性和用户上的memberOf属性都会被填充。这将简化工作,因为您可以检索用户的memberOf属性并找到您的组由于您正在查询组,我认为您的情况并非如此。我的建议是,创建一个包含3个主要访问组及其子组的所需组列表。根据所需的灵活性,您可能应该在那里应用一些缓存
接下来,使用
(&(objectClass=groupOfUniqueNames)(member=cn=youruser,ou=some,o=org))只返回DN列表,不返回属性(出于性能原因),在LDAP服务器上查询用户作为成员的所有组现在,您可以查看返回的组列表,看看您想要的组是否在其中
这种方法确保登录时只需要一个查询总数(假设缓存了组列表),而不是每个组一个