(AD)LDAPレルムのグループメンバーシップ
-
10-10-2019 - |
質問
Java EEエンタープライズアプリケーションの認証および承認プロセスにJAASフレームワークを使用しています。 Glassfishをアプリケーションサーバーとして使用しています。私の領域構成は次のように見えます:
<auth-realm name="ads-realm" classname="com.sun.enterprise.security.auth.realm.ldap.LDAPRealm">
<property name="jaas-context" value="ldapRealm" />
<property name="base-dn" value="CN=Users,DC=company,DC=intern" />
<property name="directory" value="ldap://ad.company.intern:389" />
<property name="search-filter" value="(&(objectClass=user)(sAMAccountName=%s))" />
<property name="search-bind-password" value="****" />
<property name="search-bind-dn" value="ldapSvc@company.intern" />
</auth-realm>
この構成は私の環境で正常に機能します。次のログエントリを参照してください:
FEIN: JAAS login complete.
FEIN: JAAS authentication committed.
FEIN: Password login succeeded for xyz
しかし、アクティブディレクトリからLDAPグループメンバーシップを受け取りません
FEIN: LDAP: Group memberships found:
FEIN: LDAP: login succeeded for: xyz
ADからグループメンバーシップを受信するために、どの構成/エントリ/マッピングが必要ですか?
確かに、プロパティを追加できます
<property name="assign-groups" value="Users" />
私のグラスフィッシュの構成には、それは私が望むものではありません。
解決
この追加プロパティを追加する必要があります。
group-search-filter
フィルターを検索して、ユーザーのグループメンバーシップを見つけます。デフォルト値はuniquemember =%d(%dがユーザー要素dnに拡張します)です。 Active Directoryの場合、これはメンバーである必要があります=%D
所属していません StackOverflow