在我的服务器中.xml我有以下配置:
<enterpriseApplication location="myApp.ear" name="myApp" id="myapp" autoStart="true">
<classloader commonLibraryRef="global" apiTypeVisibility="spec, ibm-api, api, third-party"/>
<application-bnd >
<security-role name="MyAdmin">
<group name="App.Admin"/>
<group name="cn=App.Admin,ou=ent,ou=App,ou=apps,o=somedir"/>
<!--user name="memyselfandi"/-->
<!--group name="App.Admin" access-id="group:LdapRegistry/cn=App.Admin,ou=ent,ou=App,ou=apps,o=somedir"/-->
</security-role>
</application-bnd>
</enterpriseApplication>
身份验证后的主题如下所示:
Principal: WSPrincipal:uid=MEMYSELFANDI,ou=person,o=somedir
Public Credential: com.ibm.ws.security.credentials.wscred.WSCredentialImpl@b29eac,
realmName=LdapRegistry,
securityName=MEMYSELFANDI,
realmSecurityName=LdapRegistry/MEMYSELFANDI,
uniqueSecurityName=uid=MEMYSELFANDI,ou=person,o=somedir,
primaryGroupId=null,
accessId=user:LdapRegistry/uid=MEMYSELFANDI,ou=person,o=somedir,
groupIds=[SomeOtherGroups, App.Admin]
Private Credential: CustomLoginModuleCredential
Private Credential: com.ibm.ws.security.token.internal.SingleSignonTokenImpl@7c2ff51c
组标识是由我的定制登录模块设置的,因为 ldap 注册表中的组在具有成员的属性中没有条目,因此不是由标准 Liberty 登录模块设置的。因此,在我的自定义模块中,我在LDAP中搜索用户,并将条目组添加到私有凭据的groupIds数组中:
WSCredential credential = (WSCredential) _sharedState.get(com.ibm.wsspi.security.
auth.callback.Constants.WSCREDENTIAL_KEY);
String[] grpList = ldapEntry.getAttribute("myEntGrps").getValues();
[..]
credential.getGroupIds().add(grpList[i]);
我还需要做其他事情吗,或者只需将组的字符串添加到数组中就足够了吗?
我还尝试使用securityGroupName(例如cn=myGroup,ou=...)而不仅仅是组名(例如myGroup)。
什么是正确的格式?
有了这一切,当我调用受保护的 servlet 时,我收到错误消息:
CWWKS9104A:在/上调用 myApp 时,用户 uid=MEMYSELFANDI,ou=person,o=somedir 的授权失败。用户未被授予对任何必需角色的访问权限:[MyAdmin]。
当我更改服务器中的配置.xml接受用户memyselfandi时,我获得了访问权限。因此,该配置适用于用户,但不适用于组。我也尝试使用access-id,但这也没有用(我的LDAP领域被命名为LdapRegistry)。
在跟踪中.log我看到以下内容(我猜日志条目被 Liberty 截断了):
ppbnd.internal.authorization.AppBndAuthorizationTableService 3 Added the following subject to role mapping for application: myApp.
App.Admin
[]
[..]
< updateMapsForAccessId Exit
{user:LdapRegistry/uid=MEMYSELFANDI,ou=person,o=somedir=[],App.Admin=[]}
在服务器.xml中配置用户后,角色将映射到用户user:LdapRegistry/uid=MEMYSELFANDI,ou=person,o=somedir=[MyAdmin]
有没有办法测试为什么它不起作用?也许是一些 LDAP 配置问题?我可以设置什么来获取所需的日志信息?目前我记录:
traceSpecification="*=info:com.ibm.ws.security.*=all:com.ibm.websphere.security.*=all:com.ibm.ws.webcontainer.security.*=all:com.ibm.ws.wim.*=all"/>
我想知道尝试映射组时在后台处理的内容。或者更好的是,我犯的错误使无法映射或找到组。
经过一些测试,事实证明,当您将组添加到主题时,您必须使用"access-id"格式。
所以这就是我的登录模块现在所做的:
WSCredential credential = (WSCredential) _sharedState.get(com.ibm.wsspi.security.
auth.callback.Constants.WSCREDENTIAL_KEY);
UserRegistry registry = RegistryHelper.getUserRegistry(credential.getRealmName());
String[] grpList = ldapEntry.getAttribute("myEntGrps").getValues();
[..]
credential.getGroupIds().add("group:"+credential.getRealmName()+"/"+registry.getGroupSecurityName(grpList[i]));
最后,组条目将如下所示:
group:MyLdapRealm/cn=myGroup,ou..