![](/img/trans.png)
[英]How to configure JBoss EAP 6.3 WebApp for Kerberos authentication
[英]How to configure to a role group in LdapExtLoginModule in JBOSS EAP 6.3?
我們公司中的某個人員已使用JBOSS EAP 6.3中的LdapExtLoginModule配置了幾乎所有角色組,並且工作正常。以下是具有該配置的standalone-full.xml文件:
<security-domain name="LDAPAuthentication" cache-type="default">
<authentication>
<login-module code="org.jboss.security.auth.spi.LdapExtLoginModule" flag="required">
<module-option name="java.naming.provider.url" value="ldap://ha-adds-global.xxxx.com:3268"/>
<module-option name="bindDN" value="CN=prodjbsvc,OU=SvcAccounts,OU=NOPOL,dc=eagle,dc=xxxx,dc=com"/>
<module-option name="bindCredential" value="XQtU@1lc"/>
<module-option name="baseCtxDN" value="dc=eagle,dc=xxxx,dc=com"/>
<module-option name="baseFilter" value="(sAMAccountName={0})"/>
<module-option name="rolesCtxDN" value="ou=COSAs,dc=eagle,dc=xxxx,dc=com"/>
<module-option name="roleFilter" value="(sAMAccountName={0})"/>
<module-option name="roleAttributeID" value="memberOf"/>
<module-option name="roleAttributeIsDN" value="true"/>
<module-option name="roleNameAttributeID" value="cn"/>
<module-option name="roleRecursion" value="-1"/>
<module-option name="searchScope" value="SUBTREE_SCOPE"/>
<module-option name="allowEmptyPasswords" value="false"/>
<module-option name="java.naming.referral" value="follow"/>
</login-module>
</authentication>
</security-domain>
我想將LDAP服務器配置為僅特定角色組-“ ALL_CONTRACTORS”,這樣只有承包商才能登錄該安全域。 為此,我將standalone-full.xml的“ rolesCtxDN”屬性值更改為:
<module-option name="rolesCtxDN" value="CN=ALL_CONTRACTORS,OU=GROUPS,OU=SMO,OU=COSAs,DC=eagle,DC=xxxx,DC=com"/>
但這沒有任何區別。 我可以使用LDAP服務器中的任何用戶憑據登錄。 誰能幫助我滿足我的要求。
角色搜索上下文與身份驗證無關,但與授權有關。 因此,如果您真的想僅將登錄限制為具有給定角色的用戶,則必須更改baseFilter
登錄模塊選項:
<module-option name="baseFilter"
value="(&(sAMAccountName={0})(memberOf=CN=ALL_CONTRACTORS,OU=GROUPS,OU=SMO,OU=COSAs,DC=eagle,DC=xxxx,DC=com))"/>
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.