Авторизация Active Directory / Java

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Java [игнор отключен] [закрыт для гостей] / Авторизация Active Directory

35 сообщений из 35, показаны все 2 страниц

все

Авторизация Active Directory

#39870966

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

Всем привет

Простой вопрос: как сделать доступ к веб-приложению только авторизованным пользователям? То есть учетка пользователя не включается ни в какие группы ActiveDirectory, но ввод пароля и авторизация обязательная для всех и, соответственно, все авторизованные пользователи могут войти в приложение (JSP/Tomcat)

Раньше для ограничения доступа прописывал в web.xml проекта путь до группы AD, которая используется в качестве индикатора для предоставления доступа.

Код: java

1.
2.
3.
4.
5.
6.
7.

<auth-constraint>
  <role-name></role-name>
</auth-constraint>
...
<security-role>
  <role-name></role-name>
</security-role>

Но теперь конкретной группы нет. И фиг знает что тут вписывать

...

Рейтинг:

0 / 0

03.10.2019, 09:44

| Ответить | Цитировать | Написать

Авторизация Active Directory

#39870969

PetroNotC Sharp

Участник

Сообщения: 10 098

Рейтинг: 0 / 0

KorcarПростой вопрос: как сделать доступ к веб-приложению только авторизованным пользователям?вин аутентификация + керберос?
Клиент в домене и входит через ослик на ваш сайт без пароля. Так?

...

Рейтинг:

0 / 0

03.10.2019, 09:56

| Ответить | Цитировать | Написать

Авторизация Active Directory

#39871007

andreykaT

Участник

Откуда: =||==

Сообщения: 2 330

Рейтинг: 0 / 0

PetroNotC SharpKorcarПростой вопрос: как сделать доступ к веб-приложению только авторизованным пользователям?вин аутентификация + керберос?
Клиент в домене и входит через ослик на ваш сайт без пароля. Так?
да не. чел хочет чтоб логин пароль на сайте в формочке вбивались и бэк с ними ходил в АД, подгребал оттуда юзера и его группы и говорил можно не можно.

...

Рейтинг:

0 / 0

03.10.2019, 10:56

| Ответить | Цитировать | Написать

Авторизация Active Directory

#39871010

PetroNotC Sharp

Участник

Сообщения: 10 098

Рейтинг: 0 / 0

andreykaT,
Ждем ТС. Что же он так долго думает.

...

Рейтинг:

0 / 0

03.10.2019, 10:58

| Ответить | Цитировать | Написать

Авторизация Active Directory

#39871012

PetroNotC Sharp

Участник

Сообщения: 10 098

Рейтинг: 0 / 0

andreykaTда не. чел хочет чтоб логин пароль на сайте в формочке вбивались и бэк с ними ходил в АД, подгребал оттуда юзера и его группы и говорил можно не можно.сам чел в домене или нет?

...

Рейтинг:

0 / 0

03.10.2019, 10:59

| Ответить | Цитировать | Написать

Авторизация Active Directory

#39871013

asv79

Участник

Откуда: Тверь

Сообщения: 3 277

Рейтинг: 0 / 0

Spring Security

...

Рейтинг:

0 / 0

03.10.2019, 10:59

| Ответить | Цитировать | Написать

Авторизация Active Directory

#39871016

PetroNotC Sharp

Участник

Сообщения: 10 098

Рейтинг: 0 / 0

asv79Spring Securityа без спринг?

...

Рейтинг:

0 / 0

03.10.2019, 11:01

| Ответить | Цитировать | Написать

Авторизация Active Directory

#39871032

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

PetroNotC SharpandreykaT,
Ждем ТС. Что же он так долго думает.
товарищи, ну так обед же.

вариант с установкой новых инструментов типа фреймворков и использования дополнительных протоколов немножко не подходит. Вроде как вещь то простая

Андрюшка меня правильно понял: при первом входе в веб-приложение пользователь должен ввести логин пароль и тем самым авторизоваться. То есть конкретных групп доступа в AD для этого приложения нет (доступ у всех пользователей имеющих учетки в AD), но возможность анонимного входа надо как бы исключить

...

Рейтинг:

0 / 0

03.10.2019, 11:31

| Ответить | Цитировать | Написать

Авторизация Active Directory

#39871038

asv79

Участник

Откуда: Тверь

Сообщения: 3 277

Рейтинг: 0 / 0

PetroNotC Sharpasv79Spring Securityа без спринг?
а что ест такие веб проекты без спринг?неужто на сервлетах )))

...

Рейтинг:

0 / 0

03.10.2019, 11:40

| Ответить | Цитировать | Написать

Авторизация Active Directory

#39871039

PetroNotC Sharp

Участник

Сообщения: 10 098

Рейтинг: 0 / 0

KorcarАндрюшка меня правильно понял: при первом входе в веб-приложение пользователь должен ввести логин пароль и тем самым авторизоваться. То есть конкретных групп доступа в AD для этого приложения нет (доступ у всех пользователей имеющих учетки в AD), но возможность анонимного входа надо как бы исключить
Уточняю.
При вхоле в Ось в домен не входишь? Так?
Это еще до запуска ослика набора урл к тебе.
2. Но роль и логин в AD есть, иначе вообще не войти.
Так?

...

Рейтинг:

0 / 0

03.10.2019, 11:42

| Ответить | Цитировать | Написать

Авторизация Active Directory

#39871041

PetroNotC Sharp

Участник

Сообщения: 10 098

Рейтинг: 0 / 0

asv79,
Веб сервер +керберос

...

Рейтинг:

0 / 0

03.10.2019, 11:43

| Ответить | Цитировать | Написать

Авторизация Active Directory

#39871050

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

PetroNotC SharpKorcarАндрюшка меня правильно понял: при первом входе в веб-приложение пользователь должен ввести логин пароль и тем самым авторизоваться. То есть конкретных групп доступа в AD для этого приложения нет (доступ у всех пользователей имеющих учетки в AD), но возможность анонимного входа надо как бы исключить
Уточняю.
При вхоле в Ось в домен не входишь? Так?
Это еще до запуска ослика набора урл к тебе.
2. Но роль и логин в AD есть, иначе вообще не войти.
Так?
При входе в Ось в домен входишь
Это еще до запуска браузера - да. Браузер не обязательно будет ослик
Учетка в АД есть, но может быть абсолютно голая, то есть не включена ни в одну доменную группу, тем не менее к приложению доступ иметь должна после ввода логина и пароля владельцем этой учетки
Как-то так

...

Рейтинг:

0 / 0

03.10.2019, 12:01

| Ответить | Цитировать | Написать

Авторизация Active Directory

#39871053

PetroNotC Sharp

Участник

Сообщения: 10 098

Рейтинг: 0 / 0

KorcarПри входе в Ось в домен входишьнааример, роль admins, user petro.
Вопрос. Почему по этому логину автоматом не входить БЕЗ ФОРМЫ ВХОДА.
А внутри дополнительно спроси или личный кабинет?

...

Рейтинг:

0 / 0

03.10.2019, 12:09

| Ответить | Цитировать | Написать

Авторизация Active Directory

#39871056

andreykaT

Участник

Откуда: =||==

Сообщения: 2 330

Рейтинг: 0 / 0

PetroNotC Sharpasv79Spring Securityа без спринг?
Юзай голый лдап кто тебе запретит? Но в спринге лдап это пара строк

...

Рейтинг:

0 / 0

03.10.2019, 12:17

| Ответить | Цитировать | Написать

Авторизация Active Directory

#39871058

andreykaT

Участник

Откуда: =||==

Сообщения: 2 330

Рейтинг: 0 / 0

KorcarPetroNotC Sharpпропущено...

Уточняю.
При вхоле в Ось в домен не входишь? Так?
Это еще до запуска ослика набора урл к тебе.
2. Но роль и логин в AD есть, иначе вообще не войти.
Так?
При входе в Ось в домен входишь
Это еще до запуска браузера - да. Браузер не обязательно будет ослик
Учетка в АД есть, но может быть абсолютно голая, то есть не включена ни в одну доменную группу, тем не менее к приложению доступ иметь должна после ввода логина и пароля владельцем этой учетки
Как-то так
Где пароль вводить то?) в браузере??

...

Рейтинг:

0 / 0

03.10.2019, 12:18

| Ответить | Цитировать | Написать

Авторизация Active Directory

#39871064

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

PetroNotC SharpKorcarПри входе в Ось в домен входишьнааример, роль admins, user petro.
Вопрос. Почему по этому логину автоматом не входить БЕЗ ФОРМЫ ВХОДА.
А внутри дополнительно спроси или личный кабинет?
не-не-не. в веб-системах пока пароль не введешь никакие роли АД автоматом не работают, поэтому связку логин-пароль надо ручками вводить в обязаловку

вход в домен - это значит, что на твой профиль в компе, с которого заходишь, сразу накатываются доменные политики и проходит виндовая авторизация в системах, которые её поддерживают (при первом обращении без ввода пароля), но это не наш случай

...

Рейтинг:

0 / 0

03.10.2019, 12:21

| Ответить | Цитировать | Написать

Авторизация Active Directory

#39871067

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

andreykaTKorcarпропущено...

При входе в Ось в домен входишь
Это еще до запуска браузера - да. Браузер не обязательно будет ослик
Учетка в АД есть, но может быть абсолютно голая, то есть не включена ни в одну доменную группу, тем не менее к приложению доступ иметь должна после ввода логина и пароля владельцем этой учетки
Как-то так
Где пароль вводить то?) в браузере??
да. в браузере при входе в веб-приложение. раньше при ограничении доступа 1-2 группами АД они прописывались в web.xml проекта, и веб-приложение в любом случае запрашивала пароль на вход, чтобы проверить вхождение введённой учетки в эти группы, а теперь групп нет, но авторизация нужна (виндовая не поддерживается, да и войти может не только тот чел, кто в данный момент на компе залогинился)
Где веб-проекту JSP-шному выставить флажок: всегда спрашивать логин-пароль юзера? - в этом вопрос

Ибо надо бы прочитать само имя учетки, подгрузить фио, телефон, мыло из AD

...

Рейтинг:

0 / 0

03.10.2019, 12:27

| Ответить | Цитировать | Написать

Авторизация Active Directory

#39871077

andreykaT

Участник

Откуда: =||==

Сообщения: 2 330

Рейтинг: 0 / 0

гугли слова spring security ldap active directory example
вот по ходу самый простой:
https://medium.com/@viraj.rajaguru/how-to-use-spring-security-to-authenticate-with-microsoft-active-directory-1caff11c57f2

...

Рейтинг:

0 / 0

03.10.2019, 12:34

| Ответить | Цитировать | Написать

Авторизация Active Directory

#39871093

PetroNotC Sharp

Участник

Сообщения: 10 098

Рейтинг: 0 / 0

Korcarне-не-не. в веб-системах пока пароль не введешь никакие роли АД автоматом не работают, поэтому связку логин-пароль надо ручками вводить в обязаловкуразуверьте меня.
Я про роли спрашиваю?
Почему нельзя по логину вошедшему в AD зайти на ваш сайт не вводя второй раз?

...

Рейтинг:

0 / 0

03.10.2019, 12:51

| Ответить | Цитировать | Написать

Авторизация Active Directory

#39871096

PetroNotC Sharp

Участник

Сообщения: 10 098

Рейтинг: 0 / 0

andreykaTЮзай голый лдап кто тебе запретит? Но в спринге лдап это пара строкя говорил о настройке веб сервера на керберос а не голом ldap. Это же не спринг.

...

Рейтинг:

0 / 0

03.10.2019, 12:53

| Ответить | Цитировать | Написать

Авторизация Active Directory

#39871101

PetroNotC Sharp

Участник

Сообщения: 10 098

Рейтинг: 0 / 0

andreykaT,

авторСуществует четыре компонента конфигурации встроенной поддержки Tomcat для проверки подлинности Windows.
Это спринг?

...

Рейтинг:

0 / 0

03.10.2019, 12:56

| Ответить | Цитировать | Написать

Авторизация Active Directory

#39871102

PetroNotC Sharp

Участник

Сообщения: 10 098

Рейтинг: 0 / 0

Korcarвиндовая не поддерживается, да и войти может не только тот чел, кто в данный момент на компе залогинилсянаконец то сказал.
Конечно, если петров админ зашел, а на сайт нужно зайти как сидоров уборщица.
Ваше право.

...

Рейтинг:

0 / 0

03.10.2019, 12:58

| Ответить | Цитировать | Написать

Авторизация Active Directory

#39871109

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

PetroNotC SharpKorcarне-не-не. в веб-системах пока пароль не введешь никакие роли АД автоматом не работают, поэтому связку логин-пароль надо ручками вводить в обязаловкуразуверьте меня.
Я про роли спрашиваю?
да, ты про роли спрашиваешь:
PetroNotC Sharpнааример, роль admins, user petro.

PetroNotC SharpПочему нельзя по логину вошедшему в AD зайти на ваш сайт не вводя второй раз?
потому что на мой сайт может войти не тот, кто вошел в комп - такая вот заковыка

...

Рейтинг:

0 / 0

03.10.2019, 13:03

| Ответить | Цитировать | Написать

Авторизация Active Directory

#39871110

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

andreykaTгугли слова spring security ldap active directory example
вот по ходу самый простой:
https://medium.com/@viraj.rajaguru/how-to-use-spring-security-to-authenticate-with-microsoft-active-directory-1caff11c57f2
незаинсталлен у меня тут спринг. дальше есть смысл ссыль смотреть?

...

Рейтинг:

0 / 0

03.10.2019, 13:04

| Ответить | Цитировать | Написать

Авторизация Active Directory

#39871119

PetroNotC Sharp

Участник

Сообщения: 10 098

Рейтинг: 0 / 0

Korcarпотому что на мой сайт может войти не тот, кто вошел в комп - такая вот заковыкада. Понял я. Ты просто позже это написал.
Тогда зачем вообще привязка к АД если входит другой? В винде он не хочет перелогиниться?
Сделай вообще отдельно от АД.

...

Рейтинг:

0 / 0

03.10.2019, 13:11

| Ответить | Цитировать | Написать

Авторизация Active Directory

#39871127

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

PetroNotC SharpKorcarпотому что на мой сайт может войти не тот, кто вошел в комп - такая вот заковыкада. Понял я. Ты просто позже это написал.
Тогда зачем вообще привязка к АД если входит другой? В винде он не хочет перелогиниться?
Сделай вообще отдельно от АД.
это еще больший борщ. придется шувалить шифрование паролей, контроль периодов их смены, контроль сложности и неповторяемости .. короче, надо просто запретить вход анонимусам. разве это так сложно? В фреймворках это вообще одна галочка, а в такой провереной временем технологии нет простого решения? Не бывает такого

...

Рейтинг:

0 / 0

03.10.2019, 13:17

| Ответить | Цитировать | Написать

Авторизация Active Directory

#39871138

lleming

Участник

Сообщения: 1 905

Рейтинг: 0 / 0

KorcarPetroNotC Sharpпропущено...
да. Понял я. Ты просто позже это написал.
Тогда зачем вообще привязка к АД если входит другой? В винде он не хочет перелогиниться?
Сделай вообще отдельно от АД.
это еще больший борщ. придется шувалить шифрование паролей, контроль периодов их смены, контроль сложности и неповторяемости .. короче, надо просто запретить вход анонимусам. разве это так сложно? В фреймворках это вообще одна галочка, а в такой провереной временем технологии нет простого решения? Не бывает такого

бывает, если есть 5 технологий но ты придумал свою хитромудрую. Поэтому приходя в столовую не надо жаловаться

почему у вас борщ не с макаронами
почему картошка в супе не квадратиками порезана
почему у стула 4 ножки а не 6 для стабильности.

...

Рейтинг:

0 / 0

03.10.2019, 13:32

| Ответить | Цитировать | Написать

Авторизация Active Directory

#39871139

lleming

Участник

Сообщения: 1 905

Рейтинг: 0 / 0

посмотри на вафлю если нужно чтото самодельное
https://github.com/Waffle/waffle

...

Рейтинг:

0 / 0

03.10.2019, 13:33

| Ответить | Цитировать | Написать

Авторизация Active Directory

#39871148

PetroNotC Sharp

Участник

Сообщения: 10 098

Рейтинг: 0 / 0

Korcarэто еще больший борщ. придется шувалить шифрование паролей, контроль периодов их смены, контроль сложности и неповторяемости ..
В каком варианте?
1 перелогин в винде и вход без пароля
2 вход по текущему и уточнение прав в личном кабинете.

...

Рейтинг:

0 / 0

03.10.2019, 13:51

| Ответить | Цитировать | Написать

Авторизация Active Directory

#39871150

PetroNotC Sharp

Участник

Сообщения: 10 098

Рейтинг: 0 / 0

Korcarкороче, надо просто запретить вход анонимусам. разве это так сложно?что анонимусы в АД.
У тебя есть вход не анонимуса при логине в Оси. Но тебя не устривает что он войдет? Так? Он же не анонимус.

...

Рейтинг:

0 / 0

03.10.2019, 13:53

| Ответить | Цитировать | Написать

Авторизация Active Directory

#39871185

Garrick

Участник

Откуда: Москва

Сообщения: 2 870

Рейтинг: 0 / 0

Korcar,

Спрашиваешь у пользователя имя и пароль, с этим именем и паролем коннектишся в AD по LDAP, находишь в AD запись этого пользователя. Если всё получилось, пропускаешь пользователя дальше. Если нет, говоришь "Имя или пароль неправильные", ну и т.п.

https://docs.oracle.com/javase/jndi/tutorial/ldap/security/ldap.html

Простой пример

Код: java

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.
45.
46.
47.
48.
49.

import java.util.Hashtable;

import javax.naming.AuthenticationException;
import javax.naming.Context;
import javax.naming.NamingException;
import javax.naming.directory.DirContext;
import javax.naming.directory.InitialDirContext;

public class SimpleLdapAuthentication
{
	public static void main(String[] args)
	{
		String username = "user";
		String password = "password";
		String base = "ou=People,dc=objects,dc=com,dc=au";
		String dn = "uid=" + username + "," + base;
		String ldapURL = "ldap://ldap.example.com:389";

		// Setup environment for authenticating
		
		Hashtable<String, String> environment = 
			new Hashtable<String, String>();
		environment.put(Context.INITIAL_CONTEXT_FACTORY,
				"com.sun.jndi.ldap.LdapCtxFactory");
		environment.put(Context.PROVIDER_URL, ldapURL);
		environment.put(Context.SECURITY_AUTHENTICATION, "simple");
		environment.put(Context.SECURITY_PRINCIPAL, dn);
		environment.put(Context.SECURITY_CREDENTIALS, password);

		try
		{
			DirContext authContext = 
				new InitialDirContext(environment);
			
			// user is authenticated
			
		}
		catch (AuthenticationException ex)
		{
			
			// Authentication failed

		}
		catch (NamingException ex)
		{
			ex.printStackTrace();
		}
	}
}

никаких спрингов, никакой магии...

...

Рейтинг:

0 / 0

03.10.2019, 15:15

| Ответить | Цитировать | Написать

Авторизация Active Directory

#39871200

andreykaT

Участник

Откуда: =||==

Сообщения: 2 330

Рейтинг: 0 / 0

PetroNotC SharpKorcarне-не-не. в веб-системах пока пароль не введешь никакие роли АД автоматом не работают, поэтому связку логин-пароль надо ручками вводить в обязаловкуразуверьте меня.
Я про роли спрашиваю?
Почему нельзя по логину вошедшему в AD зайти на ваш сайт не вводя второй раз?
потому что там надо плясать с бубном вокруг браузера или то что называтеся браузером ие.

...

Рейтинг:

0 / 0

03.10.2019, 15:43

| Ответить | Цитировать | Написать

Авторизация Active Directory

#39871201

andreykaT

Участник

Откуда: =||==

Сообщения: 2 330

Рейтинг: 0 / 0

KorcarandreykaTгугли слова spring security ldap active directory example
вот по ходу самый простой:
https://medium.com/@viraj.rajaguru/how-to-use-spring-security-to-authenticate-with-microsoft-active-directory-1caff11c57f2
незаинсталлен у меня тут спринг. дальше есть смысл ссыль смотреть?
а сорян, мне чот показалось ты на спринге приложеньку шатаешь. значит тебе не подойдет.

...

Рейтинг:

0 / 0

03.10.2019, 15:44

| Ответить | Цитировать | Написать

Авторизация Active Directory

#39871217

PetroNotC Sharp

Участник

Сообщения: 10 098

Рейтинг: 0 / 0

andreykaTпотому что там надо плясать с бубном вокруг браузера или то что называтеся браузером ие.ссылку с интересом почитаю.

...

Рейтинг:

0 / 0

03.10.2019, 16:12

| Ответить | Цитировать | Написать

Авторизация Active Directory

#39871554

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

Garrick, благодарствую! ответ по делу и никаких гвоздей. обязательно воспользуюсь!

...

Рейтинг:

0 / 0

04.10.2019, 11:47

| Ответить | Цитировать | Написать

35 сообщений из 35, показаны все 2 страниц

все

Форумы / Java [игнор отключен] [закрыт для гостей] / Авторизация Active Directory

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?all=1&fid=59&tid=2121083]:	0ms
get settings:	11ms
get forum list:	15ms
check forum access:	4ms
check topic access:	4ms
track hit:	61ms
get topic data:	14ms
get forum data:	3ms
get page messages:	61ms
get tp. blocked users:	2ms
others:	332ms

total:	507ms