Я работаю в устаревшей среде, где сервер LDAP используется только для аутентификации и не содержит ролей, а авторизация выполняется в отношении базы данных, которая содержит сопоставление пользовательской роли, но нет паролей.Внедрение Tomcat Realm с аутентификацией LDAP и авторизацией JDBC
Мой план состоит в том, чтобы реализовать новое царство Tomcat, расширив JNDIRealm и переопределив методы ролей для вызова инкапсулированного JDBCRealm.
Моя сфера объявлена в server.xml:
<Realm className="com.example.LdapJdbcRealm"
connectionURL="ldap://ldaphost:389"
resourceName="LDAP Auth"
userPattern="uid={0}, ou=Portal, dc=example, dc=com"
dbConnectionURL="jdbc:oracle:thin:@oracledb:1521:dbname"
userTable="db_user" userNameCol="user_id"
userRoleTable="db_user_role_xref" roleNameCol="role_id" />
Это сочетание стандартных имен свойств для JNDIRealm & JDBCRealm, с небольшим изменением, поскольку они оба используют ConnectionURL.
package com.example;
import org.apache.catalina.Realm;
import org.apache.catalina.Context;
import org.apache.catalina.deploy.SecurityConstraint;
import org.apache.catalina.connector.Request;
import org.apache.catalina.connector.Response;
import org.apache.catalina.realm.JNDIRealm;
import org.apache.catalina.realm.JDBCRealm;
import java.security.Principal;
import java.io.IOException;
public class LdapJdbcRealm extends JNDIRealm implements Realm
{
private JDBCRealm jdbcRealm = new JDBCRealm();
protected static final String info = "com.example.LdapJdbcRealm/1.0";
protected static final String name = "LdapJdbcRealm";
public String getDbConnectionURL() {
return jdbcRealm.getConnectionURL();
}
public void setDbConnectionURL(String dbConnectionURL) {
jdbcRealm.setConnectionURL(dbConnectionURL);
}
public String getUserTable() {
return jdbcRealm.getUserTable();
}
public void setUserTable(String userTable) {
jdbcRealm.setUserTable(userTable);
}
public String getUserNameCol() {
return jdbcRealm.getUserNameCol();
}
public void setUserNameCol(String userNameCol) {
jdbcRealm.setUserNameCol(userNameCol);
}
public String getUserRoleTable() {
return jdbcRealm.getUserRoleTable();
}
public void setUserRoleTable(String userRoleTable) {
jdbcRealm.setUserRoleTable(userRoleTable);
}
public String getRoleNameCol() {
return jdbcRealm.getRoleNameCol();
}
public void setRoleNameCol(String roleNameCol) {
jdbcRealm.setRoleNameCol(roleNameCol);
}
public boolean hasResourcePermission(Request request,
Response response,
SecurityConstraint[]constraints,
Context context) throws IOException
{
return jdbcRealm.hasResourcePermission(request, response, constraints, context);
}
public boolean hasRole(Principal principal, String role) {
return jdbcRealm.hasRole(principal, role);
}
}
В основном это работает, авторизация возвращает Принципала из LDAP, который не имеет ролей, как ожидалось. Тот же самый Принципал входит hasResourcePermission()
и терпит неудачу, потому что в нем нет требуемых ролей. Ясно, что мне не хватает какого-то важного кода.
Я ищу решения. Я мог бы попробовать расширить JDBCRealm и добавить аутентификацию LDAP, но это похоже на большую работу.
Я также считаю, что эта авторизация аутентификации LDAP и авторизация БД не являются необычным шаблоном. Существует ли альтернативное решение?
Это не , а не в моем управлении для добавления ролей в LDAP или пароли к БД, поэтому для меня это не решения.
Да, я работаю с Tomcat 6.0.18 –