appartenance aux groupes dans (AD) ldap Royaume

Question

J'utilise le cadre JAAS pour l'authentification et d'autorisation dans une application d'entreprise ee java. J'utilise GlassFish comme serveur d'applications. Ma configuration de domaine ressemble à:

<auth-realm name="ads-realm" classname="com.sun.enterprise.security.auth.realm.ldap.LDAPRealm">
  <property name="jaas-context" value="ldapRealm" />
  <property name="base-dn" value="CN=Users,DC=company,DC=intern" />
  <property name="directory" value="ldap://ad.company.intern:389" />
  <property name="search-filter" value="(&amp;(objectClass=user)(sAMAccountName=%s))" />
  <property name="search-bind-password" value="****" />
  <property name="search-bind-dn" value="ldapSvc@company.intern" />
</auth-realm>

Cette configuration fonctionne très bien dans mon environnement. Voir les entrées de journal suivantes:

FEIN: JAAS login complete. 
FEIN: JAAS authentication committed.
FEIN: Password login succeeded for xyz

mais je ne reçois pas d'appartenance à un groupe LDAP (s) de mon Active Directory

FEIN: LDAP: Group memberships found: 
FEIN: LDAP: login succeeded for: xyz

Quelle est la configuration / entrée / mapping je à faire, pour recevoir une appartenance à un groupe de AD?

Certes, je peux ajouter la propriété

<property name="assign-groups" value="Users" />

pour ma configuration GlassFish, mais ce n'est pas exactement ce que je veux.

Answer 1

Vous devez ajouter cette propriété supplémentaire:

group-search-filter Filtre de recherche pour trouver des appartenances de groupe pour l'utilisateur. La valeur par défaut est uniquemember =% d (% d se dilate à l'élément d'utilisateur DN). Dans le cas d'Active Directory cela devrait être membre =% d