LdapLoginModule Search-первый неанонимный поиск

Question

Я получил возможность использовать LdapLoginModule http://download.oracle.com/javase/6/docs/jre/api/security/jaas/spec/com/sun/security/auth/module/LdapLoginModule.html вместе с Microsoft Active Directory в режиме поиска в первую очередь, потому что наши пользователи были в разных подразделениях.AD не разрешает анонимный поиск.

Есть ли возможность выполнить неанонимный поиск перед аутентификацией или почему слово «анонимный» стоит в фигурных скобках?

В случае если LdapLoginModules позволяютдля неанонимных поисков?

С уважением

Christian

ОБНОВЛЕНИЕ: Чтобы разрешить неанонимный поиск с технической учетной записью в AD, вы должны использовать другой LoginModule.Либо вы можете реализовать свой собственный, либо, если вы находитесь на JBoss, вы можете использовать LdapExtLoginModule.Мы находимся на weblogic, поэтому мы использовали UsernamePasswordLoginModule из Oracle и настроили область для аутентификации.

Answer 1

Знаете ли вы, что вы можете разрешить анонимный поиск (статья в конце страницы) в Active-Directory.

Answer 2

Я знаю, что это старый вопрос.но вы можете использовать стандартный LdapLoginModule для выполнения поиска с проверкой подлинности в первую очередь, если добавить следующие строки в файл конфигурации JAAS, чтобы указать проверенного пользователя для поиска в активном каталоге

java.naming.security.principal="username"
java.naming.security.credentials="password"

имя пользователя может быть DNконкретный пользователь или отображаемое имя пользователя, например user@abc.com

Answer 3

Чтобы разрешить неанонимный поиск с технической учетной записью в AD, вы должны использовать другой LoginModule. Либо вы можете реализовать свой собственный, либо, если вы находитесь на JBoss, вы можете использовать LdapExtLoginModule. Мы находимся на weblogic, поэтому мы использовали UsernamePasswordLoginModule из Oracle и настроили область для аутентификации.

Answer 4

Я думаю, что вы неправильно прочитали документы.В документах говорится:

"В режиме поиска вначале выполняется поиск в каталоге LDAP, чтобы определить отличительное имя пользователя, а затем предпринимается попытка аутентификации. (Анонимный) поиск выполняется с использованием предоставленного имени пользователя в сочетании с указаннымФильтр поиска. В случае успеха попытка аутентификации осуществляется с использованием отличительного имени пользователя и предоставленного пароля. "

Все, что он пытается сделать, - это определить отличительное имя пользователя.Это НЕ позволяет вам выполнять анонимный поиск.

AD обычно разрешает анонимный поиск таких вещей, как электронная почта и т. Д., Поскольку это полезная функция, но в конце концов все сводится к тому, как ADбыл настроен.

Я ничего не знаю о LdapLoginModules, так как я не использовал их, но подумал бы, что если вы делаете анонимный поиск, вам НЕ потребуется модуль входа в систему, все, что вам нужно, этосоединение с сервером каталогов.