как настроить аутентификацию tomcat ldap без проверки?

Question

Мне нужно настроить аутентификацию LDAP против группы пользователей домена в AD; Существует проблема, что для аутентификации ldap требуется, чтобы пользователи входили в какую-то другую группу, а не в пользователи домена по умолчанию. Однако, когда есть более 10000 пользователей, не решение назначить их всех другой группе только для этой цели.

Должен быть другой путь? Можно ли проверить для primaryGroupID путем редактирования server.xml или web.xml?

или можно полностью игнорировать проверку GROUP?

Answer 1

Подклассы областей, производные от org.apache.catalina.realm.RealmBase, имеют параметр конфигурации allRolesMode, который управляет поведением, когда атрибут роли (userRoleName) или запись (roleSearch и т. Д.) Не предоставлены. Это не входит в их конфигурационные документы, но отображается в Javadoc . Вы, вероятно, хотите allRolesMode="strictAuthOnly".

Answer 2

Согласно Конфигурация области. HOW-TO ,

Область каталога поддерживает два подхода к представлению ролей в каталоге:

• Роли как явные записи каталога
  Роли могут быть представлены явными записями каталога. Запись роли обычно представляет собой запись группы LDAP с одним атрибутом, содержащим имя роли, и другим, значения которого являются выделенными именами или именами пользователей в этой роли. Следующие атрибуты настраивают поиск в каталоге для поиска имен ролей, связанных с аутентифицированным пользователем:

• roleBase - базовая запись для поиска роли. Если не указан, база поиска является контекстом каталога верхнего уровня.
• roleSubtree - область поиска. Установите значение true, если вы хотите выполнить поиск по всему поддереву с корнем в записи roleBase. Значение по умолчанию false запрашивает одноуровневый поиск, включая только верхний уровень.
• roleSearch - фильтр поиска LDAP для выбора записей роли. Опционально включает замену шаблона "{0}" для различающегося имени и / или "{1}" для имени пользователя аутентифицированного пользователя.
• roleName - атрибут в записи роли, содержащий имя этой роли

• Роли как атрибут пользовательской записи
  Имена ролей также могут храниться в качестве значений атрибута в записи каталога пользователя. Используйте userRoleName для указания имени этого атрибута.

Может использоваться комбинация обоих подходов к представлению ролей.

Так что одним из способов является использование атрибута, если у вас есть что-то подходящее. Существуют инструменты, которые могут выполнять «массовое обновление» или «массовое изменение» атрибутов AD. Если вы не хотите загрязнять AD, оберните его с помощью ADAM. В ADAM можно создавать прокси-объекты, указывающие на пользователей AD, и добавлять атрибуты в ADAM. См. Общие сведения о перенаправлении привязки ADAM для получения дополнительной информации.