我正在尝试将IBM Worklight Application Center与AD集成。它部署在Windows Server 2008 R2 Enterprise VM上的Websphere Liberty Profile上。我使用的是来自以下链接的文档:IBM知识库
我设法通过server.xml中的此配置连接到AD进行身份验证:
<ldapRegistry id="ldap" realm="SampleLdapADRealm"
host="ad.btb.hr" port="389" ignoreCase="true"
baseDN="ou=BTB,dc=btb,dc=hr"
bindDN="<myBindDN>"
bindPassword="<myBindPW>"
ldapType="Microsoft Active Directory"
sslEnabled="false">
<activedFilters userFilter="(&(sAMAccountName=%v)(objectClass=user))"
groupFilter="(&(cn=%v)(objectcategory=group))"
userIdMap="user:sAMAccountName"
groupIdMap="*:cn"
groupMemberIdMap="memberOf:member">
</activedFilters>
<contextPool enabled="true" initialSize="1" maxSize="0" timeout="0s" waitTime="3000ms" preferredSize="3"/>
<ldapCache>
<attributesCache size="4000" timeout="1200s" enabled="true" sizeLimit="2000"/>
<searchResultsCache size="2000" timeout="600s" enabled="true" resultsSizeLimit="1000"/>
</ldapCache>
</ldapRegistry>
<!-- Begin of configuration added by IBM Worklight installer. -->
<!-- Declare the IBM Application Center Console application. -->
<application id="appcenterconsole" name="appcenterconsole" location="appcenterconsole.war" type="war">
<application-bnd>
<security-role name="appcenteradmin">
<group name="worklight-administrators"/>
</security-role>
<security-role name="appcenteruser">
<group name="worklight-users"/>
</security-role>
</application-bnd>
</application>
<!-- Declare the IBM Application Center Services application. -->
<application id="applicationcenter" name="applicationcenter" location="applicationcenter.war" type="war">
<application-bnd>
<security-role name="appcenteradmin">
<!-- <group name="appcentergroup"/> -->
<group name="worklight-administrators"/>
</security-role>
<security-role name="appcenteruser">
<group name="worklight-users"/>
</security-role>
</application-bnd>
<classloader delegation="parentLast">
<commonLibrary>
<fileset dir="${wlp.install.dir}/lib" includes="com.ibm.ws.crypto.passwordutil_1.0.1.jar"/>
</commonLibrary>
</classloader>
</application>
然后我尝试配置ACL,这样我就可以使用以下配置将用户和组拉入应用中心的"用户和组管理"部分:
<jndiEntry jndiName="ibm.appcenter.ldap.active" value="true"/>
<jndiEntry jndiName="ibm.appcenter.ldap.connectionURL" value="ldap://ad.btb.hr"/>
<jndiEntry jndiName="ibm.appcenter.ldap.user.loginName" value="sAMAccountName"/>
<jndiEntry jndiName="ibm.appcenter.ldap.security.binddn" value="<myBindDN>"/>
<jndiEntry jndiName="ibm.appcenter.ldap.security.bindpwd" value="<myBindPW>"/>
<jndiEntry jndiName="ibm.appcenter.ldap.user.base" value="ou=BTB,dc=btb,dc=hr"/>
<jndiEntry jndiName="ibm.appcenter.ldap.group.base" value="ou=BTB,dc=btb,dc=hr"/>
<jndiEntry jndiName="ibm.appcenter.ldap.user.displayName" value="displayName"/>
<jndiEntry jndiName="ibm.appcenter.ldap.group.name" value="cn"/>
<jndiEntry jndiName="ibm.appcenter.ldap.group.uniquemember" value="member"/>
<jndiEntry jndiName="ibm.appcenter.ldap.user.groupmembership" value="memberOf"/>
<jndiEntry jndiName="ibm.appcenter.ldap.cache.expiration.seconds" value="43200"/>
<jndiEntry jndiName="ibm.appcenter.ldap.user.filter" value='"(&(sAMAccountName=%v)(objectClass=user))"'/>
<jndiEntry jndiName="ibm.appcenter.ldap.group.filter" value='"(&(cn=%v)(objectcategory=group))"'/>
现在,我在访问应用中心的用户/组链接时遇到了这个错误:
【24.10.14.09:14:24:379 CEST】0000001b com.ibm.uremeap.services.MobileServices E{"id":"5b5c3b4c-cb1d-4094-8e84-b1fee1b31b35","message":"FWLAC0004E:无法访问LDAP服务器。","产品版本":"6.2.0.00-2014 0613-0730"}
我错过了什么?
您使用的是非常旧的Worklight 6.2版本;更新您的设置以使用最新的
您可以从Eclipse>帮助>Eclipse市场获取最新的Worklight Studio。有关服务器工件,请访问IBM Fix Central网站。
此外,上面包含了一个可能属于您的错误的修复程序。PI24446使用与LDAP中定义的登录名称区分大小写不同的登录名称连接到APPCENTER导致错误
我通过添加/修改这两行修复了类似的问题。
在我的情况下,它是uid
而不是sAMAccountName
jndiEntry jndiName="ibm.appcenter.ldap.user.loginName" value="uid"
jndiEntry jndiName="ibm.appcenter.ldap.user.filter" value='"(&(sAMAccountName=%v)(objectClass=person))"'
我用了";人;作为对象类,因为在我的LDAP注册表配置中也提到过。
jndiEntry jndiName="ibm.appcenter.ldap.user.displayName.filter" value='"(&(cn=%v)(objectclass=person))"'
组过滤器应该是正确的,因为我正在使用Objectcategory=group
jndiEntry jndiName="ibm.appcenter.ldap.group.filter" value='"(&(cn=%v)(objectcategory=group))"'/>
所有与LDAP相关的信息都可以从AD服务器进行验证。