1. дома
  2. Вопрос и ответ
  3. Как настроить группу ролей в LdapExtLoginModule в JBOSS EAP 6.3?

Как настроить группу ролей в LdapExtLoginModule в JBOSS EAP 6.3?

2015-11-02 5 views
0

Некоторые один в нашей компании настроила почти все группы ролей с помощью LdapExtLoginModule в JBOSS EAP 6.3 и работают fine.Here является автономным-full.xml файла с этой конфигурацией:Как настроить группу ролей в LdapExtLoginModule в JBOSS EAP 6.3?

<security-domain name="LDAPAuthentication" cache-type="default"> 
    <authentication> 
     <login-module code="org.jboss.security.auth.spi.LdapExtLoginModule" flag="required"> 
      <module-option name="java.naming.provider.url" value="ldap://ha-adds-global.xxxx.com:3268"/> 
      <module-option name="bindDN" value="CN=prodjbsvc,OU=SvcAccounts,OU=NOPOL,dc=eagle,dc=xxxx,dc=com"/> 
      <module-option name="bindCredential" value="[email protected]"/> 
      <module-option name="baseCtxDN" value="dc=eagle,dc=xxxx,dc=com"/> 
      <module-option name="baseFilter" value="(sAMAccountName={0})"/> 
      <module-option name="rolesCtxDN" value="ou=COSAs,dc=eagle,dc=xxxx,dc=com"/> 
      <module-option name="roleFilter" value="(sAMAccountName={0})"/> 
      <module-option name="roleAttributeID" value="memberOf"/> 
      <module-option name="roleAttributeIsDN" value="true"/> 
      <module-option name="roleNameAttributeID" value="cn"/> 
      <module-option name="roleRecursion" value="-1"/> 
      <module-option name="searchScope" value="SUBTREE_SCOPE"/> 
      <module-option name="allowEmptyPasswords" value="false"/> 
      <module-option name="java.naming.referral" value="follow"/> 
     </login-module> 
    </authentication> 
</security-domain>

Я хочу настройте LDAP-сервер только для определенной группы ролей - «ALL_CONTRACTORS», таким образом, чтобы только подрядчики могли войти в этот безопасный домен. За что я изменил автономный-full.xml «rolesCtxDN» значение атрибута для:

<module-option name="rolesCtxDN" value="CN=ALL_CONTRACTORS,OU=GROUPS,OU=SMO,OU=COSAs,DC=eagle,DC=xxxx,DC=com"/>

Но это не имеет никакого значения. Я могу войти с помощью любого из учетных данных пользователя с сервера LDAP. Может ли кто-нибудь помочь мне с моим требованием.

источник

2015-11-02 devlperMoose

ответ

0

Контекст поиска ролей не связан с аутентификацией, а авторизацией. Так что если вы действительно хотите, чтобы ограничить вход только для пользователей с данной ролью, вы должны изменить параметр модуля baseFilter логин:

<module-option name="baseFilter" 
    value="(&amp;(sAMAccountName={0})(memberOf=CN=ALL_CONTRACTORS,OU=GROUPS,OU=SMO,OU=COSAs,DC=eagle,DC=xxxx,DC=com))"/>

источник

2015-11-02 21:37:48 kwart

+0

Это работало. Я только что сделал небольшую коррекцию. Мы не можем использовать «&» непосредственно в значение baseFilter. Вместо этого я использовал «&» Спасибо @kwart – devlperMoose

+0

Спасибо, что упомянул проблему амперсанда. Я исправил это в ответе. – kwart

Смежные вопросы

 Смежные вопросы