如何將AD組映射到用戶角色Spring Security LDAP

Question

我有一個使用Java Spring MVC構建的Web應用程序。

我只是設置連接到LDAP服務器進行身份驗證的spring security。

我已成功設置它，以便我能夠登錄到我的應用程序，但我無法找到任何幫助我將AD組映射到Java中的用戶角色，因為我只能獲得403禁止頁面，即我已經過身份驗證但尚未擁有權限。

我目前有：

<http auto-config="true">
    <intercept-url pattern="/**" access="ROLE_USER" />      
</http>

<ldap-server id="ldapServer" url="LDAPURL" manager-dn="USER" manager-password="PASSWORD"  />

<authentication-manager > 
    <ldap-authentication-provider           
        group-search-base="OU=GROUPS"
        group-search-filter="sAMAccountName={0}"

        user-search-base="OU=USERS"
        user-search-filter="sAMAccountName={0}" 

        />
</authentication-manager>

假設該用戶是AD組g-group-UK-user的一部分，那么我希望能夠將該AD組映射到ROLE_USER，以便用戶可以看到整個Web應用程序。

我似乎只能找到非常簡單的示例，其中組是ADMIN或USER，在這種情況下，前綴ROLE剛剛添加到組中，或者其他方法似乎使用UserDetailContextMapper但我無法清楚地使用它。

Answer 1

為此，我在身份驗證管理器中使用了以下內容：

user-context-mapper-ref="customUserContextMapper"

然后，我使用以下類檢查該用戶是否屬於某個AD組，然后將ROLE_USER角色分配給其權限：

@Override
public UserDetails mapUserFromContext(DirContextOperations ctx, String username, Collection<? extends GrantedAuthority> authorities) 
{

    Attributes attributes = ctx.getAttributes();
    Object[] groups = new Object[100];
    groups = ctx.getObjectAttributes("memberOf");

    LOGGER.debug("Attributes: {}", attributes);

    Set<GrantedAuthority> authority = new HashSet<GrantedAuthority>();

    for(Object group: groups)
    {

        if (group.toString().toLowerCase().contains("AD_GROUP_NAME".toLowerCase()) == true)
        {
            authority.add(new SimpleGrantedAuthority("ROLE_USER"));
            break;          
        }
    }

    User userDetails = new User(username, "", false, false, false, false, authority);
    return userDetails;
}

請注意，由於我連接的LDAP服務器具有與通常不同的結構，因為用戶可以訪問的組存儲在用戶下的屬性中而不是相反的方式，因此該類比平時稍微復雜一些。其中一個組將屬於它的所有用戶作為屬性。