Конфигурация Tomcat 6 Realm с Windows AD

Question

У нас есть Tomcat 6, подключающийся к Win2k3-серверу с AD.

Область сконфигурирована как таковая

<Realm className="org.apache.catalina.realm.JNDIRealm" debug="99" referrals="follow"
   connectionURL="<url>" 
   connectionName="CN=Query Account,OU=Service Accounts,DC=company,DC=com" 
   connectionPassword="<pwd>" 
   userBase="OU=Users,DC=company,DC=com" userSubtree="true" userSearch="(sAMAccountName={0})" userRoleName="member" 
   roleBase="OU=Security Groups,DC=company,DC=com" roleName="cn" roleSearch="(member={0})" roleSubtree="true"/>

Наши группы в AD такие

  Security Groups (OU)
   IT (OU)
     IT Support (OU)
       Support Staff (CN)

Безопасность LDAP работает, если в файле web.xml я укажу в службу поддержки. то есть работает для общих имен.

Мы хотим, чтобы ЛЮБОЙ пользователь в подразделениях групп безопасности имел доступ к приложению, а не только к CN. Tomcat не ищет OU и просто ищет CN в нашем случае. Как нам настроить наши параметры, чтобы мы могли выполнять авторизацию на уровне OU, а не только на уровне CN?

спасибо Мат

Answer 1

Разве группа "групп безопасности" также не имеет CN?Я думаю, что вам нужно будет назначить своих пользователей в группу групп безопасности, а затем сделать запрос таким образом.Я не думаю, что материал Realm может запрашивать так, как вы этого хотите.

Некоторые вещи, которые могут вам помочь

referrals = "follow", используйте это, иначе попытаться не пройтикаталоги для поиска ваших групп.

Возможно, это вас и сбивает с толку.

Удачи