JNDI + Active Directory / Java

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Java [игнор отключен] [закрыт для гостей] / JNDI + Active Directory

39 сообщений из 39, показаны все 2 страниц

все

JNDI + Active Directory

#39685967

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

Кто успешно реализовал авторизацию через AD в веб проекте на яве?

прописал соединение к LDAP в server.xml томката, прописал группы в web.xml проекта. Проект запустился, но никакой авторизации почему-то не появилось. Дальше то как эту авторизацию вызывать и куда складывать полученные токены?

...

Рейтинг:

0 / 0

10.08.2018, 11:45

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39686023

Kachalov

Участник

Откуда: Москва

Сообщения: 5 558

Рейтинг: 0 / 0

Korcar,
- в web.xml security-constraint какие то прописали? Иначе, если используете Spring, то подключать Spring Security.
JNDI в названии темы не при делах.

...

Рейтинг:

0 / 0

10.08.2018, 12:49

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39686066

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

KachalovKorcar,
- в web.xml security-constraint какие то прописали? Иначе, если используете Spring, то подключать Spring Security.
JNDI в названии темы не при делах.
jndi - имел в виду, что для подключения в ldap используются настройки, прописанные на сервере в server.xml, а не строится дерево объектов прям в коде

Спринг не использую

в web.xml прописано

Код: xml

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.

<security-constraint>
   <display-name>Левое имя</display-name>
   <web-resource-collection>
     <web-resource-name>еще одно левое имя</web-resource-name>
     <url-pattern>*.jsp</url-pattern>
     <url-pattern>*.html</url-pattern>
     <url-pattern>*.xml</url-pattern>
     <http-method>GET</http-method>
     <http-method>POST</http-method>
   </web-resource-collection>
   <auth-constraint>
     <role-name>тут роль АДа</role-name>
   </auth-constraint>
 </security-constraint>
 <login-config>
   <auth-method>CLIENT-CERT</auth-method>

 </login-config>
</security-constraint>

что с этими настройками, что без ничего нового не происходит. всё запускается. ошибок нет, но и запускает на любую страничку

...

Рейтинг:

0 / 0

10.08.2018, 13:52

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39686106

Kachalov

Участник

Откуда: Москва

Сообщения: 5 558

Рейтинг: 0 / 0

Korcar,

выкинуть это:

Код: xml

1.
2.
3.

<login-config>
   <auth-method>CLIENT-CERT</auth-method>
 </login-config>

вставить это:

Код: xml

1.
2.
3.

<auth-constraint>
   <role-name>MyLdapRole</role-name>
</auth-constraint>

...

Рейтинг:

0 / 0

10.08.2018, 14:56

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39686108

Kachalov

Участник

Откуда: Москва

Сообщения: 5 558

Рейтинг: 0 / 0

Kachalov,

пр

...

Рейтинг:

0 / 0

10.08.2018, 14:58

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39686112

Kachalov

Участник

Откуда: Москва

Сообщения: 5 558

Рейтинг: 0 / 0

Korcar,

пригляделся, web.xml какой то левый - два раза </security-constraint> - так вообще запускаться не должно

...

Рейтинг:

0 / 0

10.08.2018, 14:59

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39686180

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

Kachalov, копипаст. в проекте дубля нет. но всё равно домен отключили. до понедельника не проверю. спасибо за советы

Код: xml

1.
2.
3.

<auth-constraint>
   <role-name>MyLdapRole</role-name>
</auth-constraint>

уже под конец добавил, но логин конфиг не убирал. попробую ещё на днях

...

Рейтинг:

0 / 0

10.08.2018, 16:16

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39686654

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

Kachalov, выкинул, вставил. не помогло

...

Рейтинг:

0 / 0

13.08.2018, 07:15

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39686663

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

в примерах на оракле пишут про такую конструкцию

Код: xml

1.
2.
3.

    <security-role>
        <role-name>manager</role-name>
    </security-role>

она расположена вне <security-constraint>, но когда выношу её за пределы <security-constraint> сразу же получаю ошибку "the markup in the document following the root element must be well-format"

...

Рейтинг:

0 / 0

13.08.2018, 07:51

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39686680

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

с велл формат проблема решена. не было тэга web-app.

теперь он есть и проект вообще не запускается с ошибкой "Failed to retrieve JNDI naming context for container so no cleanup was performes for that container javax.naming.NamingException:No naming context bound to this class loader"

...

Рейтинг:

0 / 0

13.08.2018, 09:00

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39686685

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

тээкс, идём дальше. ошибка была из-за конструкции

Код: xml

<url-pattern>/*.jsp</url-pattern>

оказывается слэш не нужен

теперь другая проблема. окно для ввода логина и пароля не появляется, сразу пишет ошибку 403 типа доступ запрещён

...

Рейтинг:

0 / 0

13.08.2018, 09:19

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39686687

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

добавил

Код: xml

1.
2.
3.

<login-config>
<auth-method>BASIC</auth-method>
</login-config>

теперь окно для ввода логина/пароля запрашивает, но не пропускает. всё равно ошибка 403 закрыт доступ

...

Рейтинг:

0 / 0

13.08.2018, 09:25

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39686700

Kachalov

Участник

Откуда: Москва

Сообщения: 5 558

Рейтинг: 0 / 0

Korcarтеперь другая проблема. окно для ввода логина и пароля не появляется, сразу пишет ошибку 403 типа доступ запрещён
- и это правильное поведение, если при аутентификации в ОС пользователь не аутентифицирован в AD (и если Tomcat действительно соединился с AD и произвел проверку пользователя).

...

Рейтинг:

0 / 0

13.08.2018, 09:52

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39686743

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

KachalovKorcarтеперь другая проблема. окно для ввода логина и пароля не появляется, сразу пишет ошибку 403 типа доступ запрещён
- и это правильное поведение, если при аутентификации в ОС пользователь не аутентифицирован в AD (и если Tomcat действительно соединился с AD и произвел проверку пользователя).
да. там не был указан тип авторизации. теперь указан, но не пропускает

...

Рейтинг:

0 / 0

13.08.2018, 11:17

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39686766

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

Korcar,
Компьютер, свойства - поле Домен заполнено?

...

Рейтинг:

0 / 0

13.08.2018, 11:47

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39686787

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

Petro123Korcar,
Компьютер, свойства - поле Домен заполнено?
ага) Отправляю логин пароль для авторизации через request.login(). Ошибок нет, получаю списки всех групп пользователя через request.getUserPrincipal(). Группы там те, что надо, но пытаюсь проверить вхождение пользователя в одну из этих групп request.idUserRole() - выдает false.
фиг знает почему

...

Рейтинг:

0 / 0

13.08.2018, 12:22

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39687194

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

может имя доменной группы надо указывать со слэшем в web.xml?

...

Рейтинг:

0 / 0

14.08.2018, 06:23

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39687216

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

слэши ожидаемо не помогли

при авторизации через Active Directory обязательно роли прописывать в tomcat-users.xml?

...

Рейтинг:

0 / 0

14.08.2018, 07:56

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39687227

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

Korcar,
Пример хоть один в сети искал?

...

Рейтинг:

0 / 0

14.08.2018, 08:34

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39687231

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

Petro123Korcar,
Пример хоть один в сети искал?
нашел целую кучу, правда про доменную авторизацию маловато. поэтому и спрашиваю)

...

Рейтинг:

0 / 0

14.08.2018, 08:52

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39687233

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

KorcarPetro123Korcar,
Пример хоть один в сети искал?
нашел целую кучу, правда про доменную авторизацию маловато. поэтому и спрашиваю)маловато, т.е. все нерабочие?
Поэтому и спрашиваю)

...

Рейтинг:

0 / 0

14.08.2018, 08:56

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39687235

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

с шаблонами, разграничивающие доступ проблем нет (url-pattern). имя залогиненного пользователя тоже читается из риквеста. вопрос в том, почему проект не видит доменных групп?

точнее он их видит и через

Код: java

request.getUserPrincipal()

выводит все группы, в которые залогиненный пользователь включен (выводит со всеми OU/CN/DC), но вот

Код: java

request.IsUserInRole("любая роль")

всегда выводит false

ну и через шаблоны, прописанные в web.xml

Код: xml

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.

<security-constraint>
<display-name>Example Security Constraint</display-name>
<web-resource-collection>
<web-resource-name>Protected Area</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>ролька</role-name>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
</login-config>
</security-constraint>

<security-role>
<role-name>ролька</role-name>
</security-role>

тоже роли не работают. фиг знает почему

...

Рейтинг:

0 / 0

14.08.2018, 08:59

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39687254

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

Petro123Korcarпропущено...

нашел целую кучу, правда про доменную авторизацию маловато. поэтому и спрашиваю)маловато, т.е. все нерабочие?
Поэтому и спрашиваю)
примеров web.xml - кучу. примеров server.xml - только на сайте апача. вроде все сделано, как там и указано, и работает, но не совсем так как надо

...

Рейтинг:

0 / 0

14.08.2018, 09:31

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39687320

Kachalov

Участник

Откуда: Москва

Сообщения: 5 558

Рейтинг: 0 / 0

Korcarпри авторизации через Active Directory обязательно роли прописывать в tomcat-users.xml?
- конечно нет, это альтернативный Realm - UserDatabaseRealm или MemoryRealm. Эти роли в Вашем случае не должны использоваться. Может в этом и проблема - одновременно используется несколько разных Realm (в разных областях видимости Engine/Host/Context)?

...

Рейтинг:

0 / 0

14.08.2018, 10:55

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39687353

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

KachalovKorcarпри авторизации через Active Directory обязательно роли прописывать в tomcat-users.xml?
- конечно нет, это альтернативный Realm - UserDatabaseRealm или MemoryRealm. Эти роли в Вашем случае не должны использоваться. Может в этом и проблема - одновременно используется несколько разных Realm (в разных областях видимости Engine/Host/Context)?
добавлял локальные роли только после невозможности достучаться до доменных групп. уже убрал. в server.xml только подключение к домену. подключение проходит успешно, судя по тому, что список всех групп пользователя можно просмотреть через request.getUserPrincipal() после его логона

...

Рейтинг:

0 / 0

14.08.2018, 11:33

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39687374

Kachalov

Участник

Откуда: Москва

Сообщения: 5 558

Рейтинг: 0 / 0

Korcar, покажите настройки Realm

...

Рейтинг:

0 / 0

14.08.2018, 12:08

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39687408

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

KachalovKorcar, покажите настройки Realm
server.xml:

Код: xml

1.
2.
3.
4.
5.
6.

<Realm className="org.apache.catalina.realm.LockOutRealm" cacheRemovalWarningTime="4000" cacheSize="1100" lockOutTime="6800" failureCount="10">

<Realm className="org.apache.catalina.realm.JNDIRealm" userSubtree="true" userSearch="(sAMAccountName={0})" userRoleName="memberOf" 
userBase="OU=кусок,DC=кусок" referrals="follow" connectionURL="лдап://хостлдапа:порт" connectionName="служебный пользователь" connectionPassword="его пароль" />

</Realm>

как-то так

...

Рейтинг:

0 / 0

14.08.2018, 12:32

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39687459

Kachalov

Участник

Откуда: Москва

Сообщения: 5 558

Рейтинг: 0 / 0

Korcar, для AD советуют еще параметр roleBase: Настройка веб-контейнера Apache Tomcat вручную для применения LDAP

...

Рейтинг:

0 / 0

14.08.2018, 13:48

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39687478

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

KachalovKorcar, для AD советуют еще параметр roleBase: Настройка веб-контейнера Apache Tomcat вручную для применения LDAP
значение RoleBase равно значению userBase?

...

Рейтинг:

0 / 0

14.08.2018, 14:02

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39687486

Kachalov

Участник

Откуда: Москва

Сообщения: 5 558

Рейтинг: 0 / 0

Korcarзначение RoleBase равно значению userBase?
- не обязательно, вот еще пример: Web Container Authentication via LDAP

...

Рейтинг:

0 / 0

14.08.2018, 14:07

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39687491

Kachalov

Участник

Откуда: Москва

Сообщения: 5 558

Рейтинг: 0 / 0

Korcar, еще обратите внимание на параметр roleName

...

Рейтинг:

0 / 0

14.08.2018, 14:09

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39687503

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

KachalovKorcarзначение RoleBase равно значению userBase?
- не обязательно, вот еще пример: Web Container Authentication via LDAP
в смысле, roleBase - описывает подкаталог userBase, где лежат роли? или roleBase - так же описывает корневой каталог для ролей?

...

Рейтинг:

0 / 0

14.08.2018, 14:18

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39687507

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

KachalovKorcar, еще обратите внимание на параметр roleName
регистр roleName важен?

...

Рейтинг:

0 / 0

14.08.2018, 14:24

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39687509

Kachalov

Участник

Откуда: Москва

Сообщения: 5 558

Рейтинг: 0 / 0

Korcar, вторую ссылку посмотрите, там скриншот со структурой LDAP и описания параметров для Realm

...

Рейтинг:

0 / 0

14.08.2018, 14:25

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39687512

Kachalov

Участник

Откуда: Москва

Сообщения: 5 558

Рейтинг: 0 / 0

Korcarрегистр roleName важен?
- не знаю, теоретически не важен, а практически ... надеюсь расскажите)

...

Рейтинг:

0 / 0

14.08.2018, 14:29

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39688461

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

KachalovKorcarрегистр roleName важен?
- не знаю, теоретически не важен, а практически ... надеюсь расскажите)
регистр походу не важен.

Проблема решилась довольно просто. Во всех примерах в в role-name пишут имя группы. В моём случае этого не достаточно. Если не прописать полный путь от корня AD (который описан в server.xml в атрибуте userBase), то авторизация не работает. То есть если группа в Active Directory лежит в каталог1/каталог2/каталог3/группа, то в role-name надо написать CN=группа,OU=каталог3,OU=каталог2,OU=каталог3,DC=корень_из_server.xml

так то

...

Рейтинг:

0 / 0

16.08.2018, 06:39

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39688628

Kachalov

Участник

Откуда: Москва

Сообщения: 5 558

Рейтинг: 0 / 0

Korcar,
как то кривовато, теоретически roleBase="OU=каталог3,OU=каталог2,OU=каталог3,DC=корень" должно было помочь и roleSearch как в примере. Во всяком случае для LDAP.

...

Рейтинг:

0 / 0

16.08.2018, 11:22

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39688714

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

...

Рейтинг:

0 / 0

16.08.2018, 12:26

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39688825

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

KachalovKorcar,
как то кривовато, теоретически roleBase="OU=каталог3,OU=каталог2,OU=каталог3,DC=корень" должно было помочь и roleSearch как в примере. Во всяком случае для LDAP.
в общем ситуёвина такая: чтобы в web.xml прописывать только имя группы в server.xml должны быть прописаны параметры roleBase (полностью до группы, если параметр roleSubtree отсутствует или false), roleName (регистр не важен), roleSearch, roleSubtree (уже написал про него, так что по желанию)

Если всех этих параметров в server.xml нет, то в web.xml прописывается полный путь до группы, а не только имя

но server.xml - это поле деятельности админов, так что либо они меняют, либо подстраиваешься под имеющиеся настройки

может кому-то эта инфа поможет

...

Рейтинг:

0 / 0

16.08.2018, 13:43

| Ответить | Цитировать | Написать

39 сообщений из 39, показаны все 2 страниц

все

Форумы / Java [игнор отключен] [закрыт для гостей] / JNDI + Active Directory

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?all=1&fid=59&tid=2121846]:	0ms
get settings:	9ms
get forum list:	14ms
check forum access:	3ms
check topic access:	3ms
track hit:	60ms
get topic data:	10ms
get forum data:	2ms
get page messages:	62ms
get tp. blocked users:	1ms
others:	12ms

total:	176ms