JNDI + Active Directory / Java

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Java [игнор отключен] [закрыт для гостей] / JNDI + Active Directory

25 сообщений из 39, страница 1 из 2

все

JNDI + Active Directory

#39685967

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

Кто успешно реализовал авторизацию через AD в веб проекте на яве?

прописал соединение к LDAP в server.xml томката, прописал группы в web.xml проекта. Проект запустился, но никакой авторизации почему-то не появилось. Дальше то как эту авторизацию вызывать и куда складывать полученные токены?

...

Рейтинг:

0 / 0

10.08.2018, 11:45

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39686023

Kachalov

Участник

Откуда: Москва

Сообщения: 5 558

Рейтинг: 0 / 0

Korcar,
- в web.xml security-constraint какие то прописали? Иначе, если используете Spring, то подключать Spring Security.
JNDI в названии темы не при делах.

...

Рейтинг:

0 / 0

10.08.2018, 12:49

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39686066

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

KachalovKorcar,
- в web.xml security-constraint какие то прописали? Иначе, если используете Spring, то подключать Spring Security.
JNDI в названии темы не при делах.
jndi - имел в виду, что для подключения в ldap используются настройки, прописанные на сервере в server.xml, а не строится дерево объектов прям в коде

Спринг не использую

в web.xml прописано

Код: xml

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.

<security-constraint>
   <display-name>Левое имя</display-name>
   <web-resource-collection>
     <web-resource-name>еще одно левое имя</web-resource-name>
     <url-pattern>*.jsp</url-pattern>
     <url-pattern>*.html</url-pattern>
     <url-pattern>*.xml</url-pattern>
     <http-method>GET</http-method>
     <http-method>POST</http-method>
   </web-resource-collection>
   <auth-constraint>
     <role-name>тут роль АДа</role-name>
   </auth-constraint>
 </security-constraint>
 <login-config>
   <auth-method>CLIENT-CERT</auth-method>

 </login-config>
</security-constraint>

что с этими настройками, что без ничего нового не происходит. всё запускается. ошибок нет, но и запускает на любую страничку

...

Рейтинг:

0 / 0

10.08.2018, 13:52

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39686106

Kachalov

Участник

Откуда: Москва

Сообщения: 5 558

Рейтинг: 0 / 0

Korcar,

выкинуть это:

Код: xml

1.
2.
3.

<login-config>
   <auth-method>CLIENT-CERT</auth-method>
 </login-config>

вставить это:

Код: xml

1.
2.
3.

<auth-constraint>
   <role-name>MyLdapRole</role-name>
</auth-constraint>

...

Рейтинг:

0 / 0

10.08.2018, 14:56

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39686108

Kachalov

Участник

Откуда: Москва

Сообщения: 5 558

Рейтинг: 0 / 0

Kachalov,

пр

...

Рейтинг:

0 / 0

10.08.2018, 14:58

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39686112

Kachalov

Участник

Откуда: Москва

Сообщения: 5 558

Рейтинг: 0 / 0

Korcar,

пригляделся, web.xml какой то левый - два раза </security-constraint> - так вообще запускаться не должно

...

Рейтинг:

0 / 0

10.08.2018, 14:59

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39686180

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

Kachalov, копипаст. в проекте дубля нет. но всё равно домен отключили. до понедельника не проверю. спасибо за советы

Код: xml

1.
2.
3.

<auth-constraint>
   <role-name>MyLdapRole</role-name>
</auth-constraint>

уже под конец добавил, но логин конфиг не убирал. попробую ещё на днях

...

Рейтинг:

0 / 0

10.08.2018, 16:16

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39686654

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

Kachalov, выкинул, вставил. не помогло

...

Рейтинг:

0 / 0

13.08.2018, 07:15

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39686663

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

в примерах на оракле пишут про такую конструкцию

Код: xml

1.
2.
3.

    <security-role>
        <role-name>manager</role-name>
    </security-role>

она расположена вне <security-constraint>, но когда выношу её за пределы <security-constraint> сразу же получаю ошибку "the markup in the document following the root element must be well-format"

...

Рейтинг:

0 / 0

13.08.2018, 07:51

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39686680

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

с велл формат проблема решена. не было тэга web-app.

теперь он есть и проект вообще не запускается с ошибкой "Failed to retrieve JNDI naming context for container so no cleanup was performes for that container javax.naming.NamingException:No naming context bound to this class loader"

...

Рейтинг:

0 / 0

13.08.2018, 09:00

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39686685

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

тээкс, идём дальше. ошибка была из-за конструкции

Код: xml

<url-pattern>/*.jsp</url-pattern>

оказывается слэш не нужен

теперь другая проблема. окно для ввода логина и пароля не появляется, сразу пишет ошибку 403 типа доступ запрещён

...

Рейтинг:

0 / 0

13.08.2018, 09:19

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39686687

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

добавил

Код: xml

1.
2.
3.

<login-config>
<auth-method>BASIC</auth-method>
</login-config>

теперь окно для ввода логина/пароля запрашивает, но не пропускает. всё равно ошибка 403 закрыт доступ

...

Рейтинг:

0 / 0

13.08.2018, 09:25

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39686700

Kachalov

Участник

Откуда: Москва

Сообщения: 5 558

Рейтинг: 0 / 0

Korcarтеперь другая проблема. окно для ввода логина и пароля не появляется, сразу пишет ошибку 403 типа доступ запрещён
- и это правильное поведение, если при аутентификации в ОС пользователь не аутентифицирован в AD (и если Tomcat действительно соединился с AD и произвел проверку пользователя).

...

Рейтинг:

0 / 0

13.08.2018, 09:52

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39686743

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

KachalovKorcarтеперь другая проблема. окно для ввода логина и пароля не появляется, сразу пишет ошибку 403 типа доступ запрещён
- и это правильное поведение, если при аутентификации в ОС пользователь не аутентифицирован в AD (и если Tomcat действительно соединился с AD и произвел проверку пользователя).
да. там не был указан тип авторизации. теперь указан, но не пропускает

...

Рейтинг:

0 / 0

13.08.2018, 11:17

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39686766

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

Korcar,
Компьютер, свойства - поле Домен заполнено?

...

Рейтинг:

0 / 0

13.08.2018, 11:47

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39686787

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

Petro123Korcar,
Компьютер, свойства - поле Домен заполнено?
ага) Отправляю логин пароль для авторизации через request.login(). Ошибок нет, получаю списки всех групп пользователя через request.getUserPrincipal(). Группы там те, что надо, но пытаюсь проверить вхождение пользователя в одну из этих групп request.idUserRole() - выдает false.
фиг знает почему

...

Рейтинг:

0 / 0

13.08.2018, 12:22

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39687194

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

может имя доменной группы надо указывать со слэшем в web.xml?

...

Рейтинг:

0 / 0

14.08.2018, 06:23

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39687216

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

слэши ожидаемо не помогли

при авторизации через Active Directory обязательно роли прописывать в tomcat-users.xml?

...

Рейтинг:

0 / 0

14.08.2018, 07:56

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39687227

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

Korcar,
Пример хоть один в сети искал?

...

Рейтинг:

0 / 0

14.08.2018, 08:34

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39687231

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

Petro123Korcar,
Пример хоть один в сети искал?
нашел целую кучу, правда про доменную авторизацию маловато. поэтому и спрашиваю)

...

Рейтинг:

0 / 0

14.08.2018, 08:52

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39687233

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

KorcarPetro123Korcar,
Пример хоть один в сети искал?
нашел целую кучу, правда про доменную авторизацию маловато. поэтому и спрашиваю)маловато, т.е. все нерабочие?
Поэтому и спрашиваю)

...

Рейтинг:

0 / 0

14.08.2018, 08:56

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39687235

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

с шаблонами, разграничивающие доступ проблем нет (url-pattern). имя залогиненного пользователя тоже читается из риквеста. вопрос в том, почему проект не видит доменных групп?

точнее он их видит и через

Код: java

request.getUserPrincipal()

выводит все группы, в которые залогиненный пользователь включен (выводит со всеми OU/CN/DC), но вот

Код: java

request.IsUserInRole("любая роль")

всегда выводит false

ну и через шаблоны, прописанные в web.xml

Код: xml

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.

<security-constraint>
<display-name>Example Security Constraint</display-name>
<web-resource-collection>
<web-resource-name>Protected Area</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>ролька</role-name>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
</login-config>
</security-constraint>

<security-role>
<role-name>ролька</role-name>
</security-role>

тоже роли не работают. фиг знает почему

...

Рейтинг:

0 / 0

14.08.2018, 08:59

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39687254

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

Petro123Korcarпропущено...

нашел целую кучу, правда про доменную авторизацию маловато. поэтому и спрашиваю)маловато, т.е. все нерабочие?
Поэтому и спрашиваю)
примеров web.xml - кучу. примеров server.xml - только на сайте апача. вроде все сделано, как там и указано, и работает, но не совсем так как надо

...

Рейтинг:

0 / 0

14.08.2018, 09:31

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39687320

Kachalov

Участник

Откуда: Москва

Сообщения: 5 558

Рейтинг: 0 / 0

Korcarпри авторизации через Active Directory обязательно роли прописывать в tomcat-users.xml?
- конечно нет, это альтернативный Realm - UserDatabaseRealm или MemoryRealm. Эти роли в Вашем случае не должны использоваться. Может в этом и проблема - одновременно используется несколько разных Realm (в разных областях видимости Engine/Host/Context)?

...

Рейтинг:

0 / 0

14.08.2018, 10:55

| Ответить | Цитировать | Написать

JNDI + Active Directory

#39687353

Korcar

Участник

Сообщения: 7 955

Рейтинг: 0 / 0

KachalovKorcarпри авторизации через Active Directory обязательно роли прописывать в tomcat-users.xml?
- конечно нет, это альтернативный Realm - UserDatabaseRealm или MemoryRealm. Эти роли в Вашем случае не должны использоваться. Может в этом и проблема - одновременно используется несколько разных Realm (в разных областях видимости Engine/Host/Context)?
добавлял локальные роли только после невозможности достучаться до доменных групп. уже убрал. в server.xml только подключение к домену. подключение проходит успешно, судя по тому, что список всех групп пользователя можно просмотреть через request.getUserPrincipal() после его логона

...

Рейтинг:

0 / 0

14.08.2018, 11:33

| Ответить | Цитировать | Написать

25 сообщений из 39, страница 1 из 2

все

Форумы / Java [игнор отключен] [закрыт для гостей] / JNDI + Active Directory

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=59&msg=39686743&tid=2121846]:	0ms
get settings:	9ms
get forum list:	14ms
check forum access:	4ms
check topic access:	4ms
track hit:	73ms
get topic data:	9ms
get forum data:	3ms
get page messages:	54ms
get tp. blocked users:	1ms
others:	12ms

total:	183ms