Spring LDAP Context.REFERRAL 关注
Spring LDAP Context.REFERRAL to follow
如何设置 LDAP Context.REFERRAL 以遵循 Spring 安全配置?这与我已经报告的一个问题有关,在发现我正在寻找的真正解决方案之前,我发现了一个不令人满意的解决方案,涉及在 LDAP 上下文中设置此环境属性以遵循 ActiveDirectoryLdapAuthenticationProvider 的引用。
这是对我原来问题的引用:
补遗: 这里好像没有人有这样的环境。尽管对这个问题保持沉默,但我 post 在这里我的配置希望有人能够帮助我解决这个问题。我只是不知道我应该怎么做才能解决这个问题。
这是我日志中的错误消息:
2015-06-15 10:32:19,810 DEBUG (o.s.s.w.FilterChainProxy$VirtualFilterChain.doFilter) [http-8443-1] /identite.proc at position 7 of 13 in additional filter chain; firing Filter: 'UsernamePasswordAuthenticationFilter'
2015-06-15 10:32:19,810 DEBUG (o.s.s.w.u.m.AntPathRequestMatcher.matches) [http-8443-1] Checking match of request : '/identite.proc'; against '/identite.proc'
2015-06-15 10:32:19,810 DEBUG (o.s.s.w.a.AbstractAuthenticationProcessingFilter.doFilter) [http-8443-1] Request is to process authentication
2015-06-15 10:32:19,811 DEBUG (o.s.s.a.ProviderManager.authenticate) [http-8443-1] Authentication attempt using org.springframework.security.ldap.authentication.ad.ActiveDirectoryLdapAuthenticationProvider
2015-06-15 10:32:19,811 DEBUG (o.s.s.l.a.AbstractLdapAuthenticationProvider.authenticate) [http-8443-1] Processing authentication request for user: myusername
2015-06-15 10:32:19,841 DEBUG (o.s.s.l.SpringSecurityLdapTemplate.searchForSingleEntryInternal) [http-8443-1] Searching for entry under DN '', base = 'dc=dept,dc=company,dc=com', filter = '(&(userPrincipalName={0})(objectClass=user)(objectCategory=inetOrgPerson))'
2015-06-15 10:32:19,842 DEBUG (o.s.s.w.a.AbstractAuthenticationProcessingFilter.unsuccessfulAuthentication) [http-8443-1] Authentication request failed: org.springframework.security.authentication.BadCredentialsException: Bad credentials
2015-06-15 10:32:19,842 DEBUG (o.s.s.w.a.AbstractAuthenticationProcessingFilter.unsuccessfulAuthentication) [http-8443-1] Updated SecurityContextHolder to contain null Authentication
2015-06-15 10:32:19,842 DEBUG (o.s.s.w.a.AbstractAuthenticationProcessingFilter.unsuccessfulAuthentication) [http-8443-1] Delegating to authentication failure handler org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler@a5d7f2
这里是配置:
<b:bean id="monFournisseurAD" class="org.springframework.security.ldap.authentication.ad.ActiveDirectoryLdapAuthenticationProvider">
<b:constructor-arg value="dept.company.com" />
<b:constructor-arg value="ldap://dept.company.com:3268/" />
<b:constructor-arg value="dc=dept,dc=company,dc=com" />
<b:property name="searchFilter" value="(&(userPrincipalName={0})(objectClass=user)(objectCategory=inetOrgPerson))" />
<b:property name="userDetailsContextMapper">
<b:bean class="org.springframework.security.ldap.userdetails.InetOrgPersonContextMapper" />
</b:property>
<b:property name="authoritiesMapper" ref="grantedAuthoritiesMapper" />
<b:property name="convertSubErrorCodesToExceptions" value="true" />
</b:bean>
<b:bean id="contextSource" class="org.springframework.security.ldap.DefaultSpringSecurityContextSource">
<b:constructor-arg value="ldap://dept.company.com:3268/dc=dept,dc=company,dc=com" />
<b:property name="baseEnvironmentProperties">
<b:map>
<b:entry key="java.naming.referral" value="follow" />
</b:map>
</b:property>
</b:bean>
<b:bean id="ldapTemplate" class="org.springframework.ldap.core.LdapTemplate">
<b:constructor-arg ref="contextSource" />
</b:bean>
<b:bean id="securityContextPersistenceFilter" class="org.springframework.security.web.context.SecurityContextPersistenceFilter" />
<b:bean id="myDeconnexionHandler" class="com.company.dept.web.my.DeconnexionHandler" />
id 为contextSource 和ldapTemplate 的两个bean 似乎没有改变任何东西。我试图让推荐跟随行为。这似乎不是正确的配置方式。另外,这里ldap URL 中的端口设置为3268,因为它是通用目录,其他地方的另一个描述中有人建议使用它。但是,结果与端口 389 完全相同。
如果我更改 bean monFournisseurAD 中的第一个构造函数参数以将其设置为单个 userPrincipalName 域,它将适用于该域中的所有用户。虽然我实际上可以使用 ldapsearch 命令从命令行验证任何人,但使用 dept.company.com 而不是直接关联到用户的 userPrincipalName 域。事实上,如果我输入了错误的密码,我会得到具体的错误密码信息。这似乎证明用户实际上是由 AD/LDAP 验证的,但是 Spring 稍后无法获取该用户的属性。
我该如何解决这个问题?
最后,解决这个问题的唯一方法是修改代码,因为方法 org.springframework.security.ldap.authentication.ad.ActiveDirectoryLdapAuthenticationProvider.searchForUser() 被连线以将 bindPrincipal 传递给 SpringSecurityLdapTemplate.searchForSingleEntryInternal(),后者实际上恢复了记录用户使用 XML 中定义的搜索过滤器或使用 setSearchFilter() 设置。由于 bindPrincipal 实际上是 username@domain,这个值不适合在搜索过滤器中使用 sAMAccountName,它总是会失败。由于绑定到 Active Directory 服务器是使用 userPrincipalName 然后 bindPrincipal 执行的,因此您无法指定给 searchForUser(),它必须仅在搜索中使用用户名而不是 bindPrincipal (UPN)。我通过将整个 class org.springframework.security.ldap.authentication.ad.ActiveDirectoryLdapAuthenticationProvider 复制到我的包中并修改 searchForUser() 方法以将用户名而不是 bindPrincipal 传递给方法 searchForSingleEntryInternal() 来解决我的问题。这有效,但它仍然是一个 wired/hardcoded 解决方案。一个更优雅的解决方案是引入一个模式列表和一个方法来组成调用 searchForSingleEntryInternal() 的值,或者一个方法来检测 searchFilter() 字符串所需的参数类型。
如何设置 LDAP Context.REFERRAL 以遵循 Spring 安全配置?这与我已经报告的一个问题有关,在发现我正在寻找的真正解决方案之前,我发现了一个不令人满意的解决方案,涉及在 LDAP 上下文中设置此环境属性以遵循 ActiveDirectoryLdapAuthenticationProvider 的引用。
这是对我原来问题的引用:
补遗: 这里好像没有人有这样的环境。尽管对这个问题保持沉默,但我 post 在这里我的配置希望有人能够帮助我解决这个问题。我只是不知道我应该怎么做才能解决这个问题。
这是我日志中的错误消息:
2015-06-15 10:32:19,810 DEBUG (o.s.s.w.FilterChainProxy$VirtualFilterChain.doFilter) [http-8443-1] /identite.proc at position 7 of 13 in additional filter chain; firing Filter: 'UsernamePasswordAuthenticationFilter'
2015-06-15 10:32:19,810 DEBUG (o.s.s.w.u.m.AntPathRequestMatcher.matches) [http-8443-1] Checking match of request : '/identite.proc'; against '/identite.proc'
2015-06-15 10:32:19,810 DEBUG (o.s.s.w.a.AbstractAuthenticationProcessingFilter.doFilter) [http-8443-1] Request is to process authentication
2015-06-15 10:32:19,811 DEBUG (o.s.s.a.ProviderManager.authenticate) [http-8443-1] Authentication attempt using org.springframework.security.ldap.authentication.ad.ActiveDirectoryLdapAuthenticationProvider
2015-06-15 10:32:19,811 DEBUG (o.s.s.l.a.AbstractLdapAuthenticationProvider.authenticate) [http-8443-1] Processing authentication request for user: myusername
2015-06-15 10:32:19,841 DEBUG (o.s.s.l.SpringSecurityLdapTemplate.searchForSingleEntryInternal) [http-8443-1] Searching for entry under DN '', base = 'dc=dept,dc=company,dc=com', filter = '(&(userPrincipalName={0})(objectClass=user)(objectCategory=inetOrgPerson))'
2015-06-15 10:32:19,842 DEBUG (o.s.s.w.a.AbstractAuthenticationProcessingFilter.unsuccessfulAuthentication) [http-8443-1] Authentication request failed: org.springframework.security.authentication.BadCredentialsException: Bad credentials
2015-06-15 10:32:19,842 DEBUG (o.s.s.w.a.AbstractAuthenticationProcessingFilter.unsuccessfulAuthentication) [http-8443-1] Updated SecurityContextHolder to contain null Authentication
2015-06-15 10:32:19,842 DEBUG (o.s.s.w.a.AbstractAuthenticationProcessingFilter.unsuccessfulAuthentication) [http-8443-1] Delegating to authentication failure handler org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler@a5d7f2
这里是配置:
<b:bean id="monFournisseurAD" class="org.springframework.security.ldap.authentication.ad.ActiveDirectoryLdapAuthenticationProvider">
<b:constructor-arg value="dept.company.com" />
<b:constructor-arg value="ldap://dept.company.com:3268/" />
<b:constructor-arg value="dc=dept,dc=company,dc=com" />
<b:property name="searchFilter" value="(&(userPrincipalName={0})(objectClass=user)(objectCategory=inetOrgPerson))" />
<b:property name="userDetailsContextMapper">
<b:bean class="org.springframework.security.ldap.userdetails.InetOrgPersonContextMapper" />
</b:property>
<b:property name="authoritiesMapper" ref="grantedAuthoritiesMapper" />
<b:property name="convertSubErrorCodesToExceptions" value="true" />
</b:bean>
<b:bean id="contextSource" class="org.springframework.security.ldap.DefaultSpringSecurityContextSource">
<b:constructor-arg value="ldap://dept.company.com:3268/dc=dept,dc=company,dc=com" />
<b:property name="baseEnvironmentProperties">
<b:map>
<b:entry key="java.naming.referral" value="follow" />
</b:map>
</b:property>
</b:bean>
<b:bean id="ldapTemplate" class="org.springframework.ldap.core.LdapTemplate">
<b:constructor-arg ref="contextSource" />
</b:bean>
<b:bean id="securityContextPersistenceFilter" class="org.springframework.security.web.context.SecurityContextPersistenceFilter" />
<b:bean id="myDeconnexionHandler" class="com.company.dept.web.my.DeconnexionHandler" />
id 为contextSource 和ldapTemplate 的两个bean 似乎没有改变任何东西。我试图让推荐跟随行为。这似乎不是正确的配置方式。另外,这里ldap URL 中的端口设置为3268,因为它是通用目录,其他地方的另一个描述中有人建议使用它。但是,结果与端口 389 完全相同。
如果我更改 bean monFournisseurAD 中的第一个构造函数参数以将其设置为单个 userPrincipalName 域,它将适用于该域中的所有用户。虽然我实际上可以使用 ldapsearch 命令从命令行验证任何人,但使用 dept.company.com 而不是直接关联到用户的 userPrincipalName 域。事实上,如果我输入了错误的密码,我会得到具体的错误密码信息。这似乎证明用户实际上是由 AD/LDAP 验证的,但是 Spring 稍后无法获取该用户的属性。
我该如何解决这个问题?
最后,解决这个问题的唯一方法是修改代码,因为方法 org.springframework.security.ldap.authentication.ad.ActiveDirectoryLdapAuthenticationProvider.searchForUser() 被连线以将 bindPrincipal 传递给 SpringSecurityLdapTemplate.searchForSingleEntryInternal(),后者实际上恢复了记录用户使用 XML 中定义的搜索过滤器或使用 setSearchFilter() 设置。由于 bindPrincipal 实际上是 username@domain,这个值不适合在搜索过滤器中使用 sAMAccountName,它总是会失败。由于绑定到 Active Directory 服务器是使用 userPrincipalName 然后 bindPrincipal 执行的,因此您无法指定给 searchForUser(),它必须仅在搜索中使用用户名而不是 bindPrincipal (UPN)。我通过将整个 class org.springframework.security.ldap.authentication.ad.ActiveDirectoryLdapAuthenticationProvider 复制到我的包中并修改 searchForUser() 方法以将用户名而不是 bindPrincipal 传递给方法 searchForSingleEntryInternal() 来解决我的问题。这有效,但它仍然是一个 wired/hardcoded 解决方案。一个更优雅的解决方案是引入一个模式列表和一个方法来组成调用 searchForSingleEntryInternal() 的值,或者一个方法来检测 searchFilter() 字符串所需的参数类型。