Introduction
前一篇文章中,告訴大家如何使用LdapAuthenticationProvider去透過LDAP server做驗證。然而驗證動作透過明文傳遞資料是非常不安全的,有心人士隨便就可以竊取你的帳號密碼。如果今天包是出在你的軟體上,客戶會對你們的軟體失去信心(幹譙是一定的)。因此本篇主要告訴大家,如何透過安全連線做驗證。
How to?
首先需要注意的是這幾個名詞: SSL、TLS與StartTLS。
- SSL與TLS: 使用ldaps,通常port為636,為加密連線。TLS是用來取代SSL的;一般用於client-server溝通,如https。
- StartTLS: 使用ldap,通常port為389,是非加密連線的擴充。連線時會透過定義好的溝通方式,將連線升級為加密連線,可以是SSL也可以是TLS;一般用於server內部溝通。
TLS和StartTLS非常容易混淆,甚至認為它是同種東西。像LdapAdmin、Linux、Cisco Firesight等就是把StartTLS當TLS,而Apache Studio、SonicWall是稱為StartTLS或StartTLS extension。
SSL
要使用SSL只要將protocol改為ldaps並注意使用的port即可,我分別以驗證成功與失敗做例子:
@Test public void testSSL(){ LdapContextSource contextSource = new LdapContextSource(); contextSource.setUrl("ldaps://192.168.1.13:636"); contextSource.setBase("dc=testldap,dc=org"); contextSource.setUserDn("cn=admin,dc=testldap,dc=org"); contextSource.setPassword("123456"); contextSource.afterPropertiesSet(); LdapAuthenticationProvider provider = createProvider(contextSource); UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken("tonylin", "123456"); try { Authentication ret = provider.authenticate(token); Collection<? extends GrantedAuthority> authorities = ret.getAuthorities(); assertEquals(1, authorities.size()); assertEquals("mis", authorities.toArray(new GrantedAuthority[0])[0].getAuthority()); } catch( Exception e ){ fail(); } token = new UsernamePasswordAuthenticationToken("tonylin", "12345678"); try { provider.authenticate(token); fail(); } catch( BadCredentialsException e ){ assertEquals("Bad credentials", e.getMessage()); } } private LdapAuthenticationProvider createProvider(LdapContextSource contextSource){ FilterBasedLdapUserSearch userSearch = new FilterBasedLdapUserSearch("ou=sw", "uid={0}", contextSource); BindAuthenticator authenticator = new BindAuthenticator(contextSource); authenticator.setUserSearch(userSearch); DefaultLdapAuthoritiesPopulator authoritiesPopulator = new DefaultLdapAuthoritiesPopulator(contextSource, "ou=sw"); authoritiesPopulator.setGroupSearchFilter("uniqueMember={0}"); authoritiesPopulator.setConvertToUpperCase(false); authoritiesPopulator.setRolePrefix(""); authoritiesPopulator.setSearchSubtree(true); return new LdapAuthenticationProvider(authenticator, authoritiesPopulator); }
StartTLS
Spring提供了DefaultTlsDirContextAuthenticationStrategy讓你可以輕鬆使用TLS,當然也可以不透過它自己使用JNDI達到目的。與SSL的不同在於,DefaultTlsDirContextAuthenticationStrategy在做handshake後,會做hostname的verify,為了測試我們透過override setHostnameVerifier去跳過;而在驗證錯誤時,會是接到AuthenticationException的例外:
@Test public void testTLS(){ LdapContextSource contextSource = new LdapContextSource(); contextSource.setUrl("ldap://192.168.1.13:389"); contextSource.setBase("dc=testldap,dc=org"); contextSource.setUserDn("cn=admin,dc=testldap,dc=org"); contextSource.setPassword("123456"); DefaultTlsDirContextAuthenticationStrategy strategy = new DefaultTlsDirContextAuthenticationStrategy(); strategy.setHostnameVerifier((hostname, sslsession) -> { return true; }); contextSource.setAuthenticationStrategy(strategy); contextSource.afterPropertiesSet(); LdapAuthenticationProvider provider = createProvider(contextSource); UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken("tonylin", "123456"); try { Authentication ret = provider.authenticate(token); Collection<? extends GrantedAuthority> authorities = ret.getAuthorities(); assertEquals(1, authorities.size()); assertEquals("mis", authorities.toArray(new GrantedAuthority[0])[0].getAuthority()); } catch( Exception e ){ fail(e.getMessage()); } token = new UsernamePasswordAuthenticationToken("tonylin", "12345678"); try { provider.authenticate(token); fail(); } catch( AuthenticationException e ){ assertTrue(e.getMessage().contains("Invalid Credentials")); } }
如果在連不到LDAP server的情況下,通常都要等待20秒。我們可以透過以下方式去調整連線與從Server讀取資料的timeout:
Map<String,Object> baseEnv = new HashMap<>(); baseEnv.put("com.sun.jndi.ldap.read.timeout", "1000"); baseEnv.put("com.sun.jndi.ldap.connect.timeout", "1000"); contextSource.setBaseEnvironmentProperties(baseEnv);
如果出現TLS already started的錯誤,這可能是spring connection pool造成的,可以透過設定以下flag取消pool暫時解決;使用ldaps+StartTLS也會有一樣問題。
ldapContextSource.setCacheEnvironmentProperties(false); ldapContextSource.setPooled(false);
最後
除了以上內容外,還有些議題沒特別說明:
- SSL + VerifyHostname: Hostname驗證是為了抵禦中間人攻擊,因此SSL應也需要Hostname驗證。目前我已經有做法可以解決。
- Disable Connection Pool: Connection Pool是為了減少重建連線的Effort,但目前Spring的StartTLS並無法正常使用。
這些議題有機會再研究與分享。
留言
張貼留言