差異處
這裏顯示兩個版本的差異處。
Both sides previous revision 前次修改 下次修改 | 前次修改 | ||
java:ldap:spring:ldapauthenticationprovider [2016/05/08 22:59] tony [我的範例] |
java:ldap:spring:ldapauthenticationprovider [2016/05/10 22:54] tony |
||
---|---|---|---|
行 10: | 行 10: | ||
- **執行認證**: 透過LdapAuthenticationProvider執行驗證。 | - **執行認證**: 透過LdapAuthenticationProvider執行驗證。 | ||
讓我們透過範例來做說明。 | 讓我們透過範例來做說明。 | ||
- | ===== 我的範例 ===== | + | ==== 我的範例 ==== |
{{:java:ldap:spring:spring_ldapprovider_ldap_server_example1.png|}}\\ | {{:java:ldap:spring:spring_ldapprovider_ldap_server_example1.png|}}\\ | ||
我希望能透過LdapAuthenticationProvider去認證ow=sw下的tonylin並取得其群組名稱mis。 | 我希望能透過LdapAuthenticationProvider去認證ow=sw下的tonylin並取得其群組名稱mis。 | ||
- | ===== 連線設置 ===== | + | ==== 連線設置 ==== |
即建立LdapContextSource物件,我使用DefaultSpringSecurityContextSource完成我的實作。 | 即建立LdapContextSource物件,我使用DefaultSpringSecurityContextSource完成我的實作。 | ||
<code java> | <code java> | ||
行 24: | 行 24: | ||
</code> | </code> | ||
如果你想透過多台LDAP server做認證,可以傳入String List給DefaultSpringSecurityContextSource,也可以透過多個provider方式去達到目的。差別在於前者的設定必須相同;後者則有較高的控制靈活度。 | 如果你想透過多台LDAP server做認證,可以傳入String List給DefaultSpringSecurityContextSource,也可以透過多個provider方式去達到目的。差別在於前者的設定必須相同;後者則有較高的控制靈活度。 | ||
- | ===== 使用者搜尋設置 ===== | + | ==== 使用者搜尋設置 ==== |
LdapAuthenticationProvider將認證的動作交給LdapAuthenticator負責。實作是透過FilterBasedLdapUserSearch去搜尋使用者資料,並藉由BindAuthenticator使用bind方式經由LDAP server做認證: | LdapAuthenticationProvider將認證的動作交給LdapAuthenticator負責。實作是透過FilterBasedLdapUserSearch去搜尋使用者資料,並藉由BindAuthenticator使用bind方式經由LDAP server做認證: | ||
<code java> | <code java> | ||
行 32: | 行 32: | ||
</code> | </code> | ||
需注意的部分是FilterBasedLdapUserSearch的前兩個參數: | 需注意的部分是FilterBasedLdapUserSearch的前兩個參數: | ||
- | - 搜尋使用者的base DN: 是從contextSource設定的base DN算起,以我的例子完整的DN就是ow=sw,dc=testldap,dc=org。 | + | - **搜尋使用者的base DN**: 是從contextSource設定的base DN算起,以我的例子完整的DN就是ow=sw,dc=testldap,dc=org。 |
- | - 使用者過濾規則: 假如我搜尋帳號為tonylin,則搜尋條件就會變成uid=tonylin。有的人會搭配使用objectClass去區分user與group。 | + | - **使用者過濾規則**: 假如我搜尋帳號為tonylin,則搜尋條件就會變成uid=tonylin。有的人會搭配使用objectClass去區分user與group。 |
- | ===== 群組搜尋設置 ===== | + | ==== 群組搜尋設置 ==== |
與使用者搜尋設置類似,就是透過DefaultLdapAuthoritiesPopulator去搜尋使用者所對應的群組: | 與使用者搜尋設置類似,就是透過DefaultLdapAuthoritiesPopulator去搜尋使用者所對應的群組: | ||
<code java> | <code java> | ||
行 45: | 行 45: | ||
</code> | </code> | ||
需注意的部分為: | 需注意的部分為: | ||
- | - 搜尋群組的base DN: 與FilterBasedLdapUserSearch是一樣的使用方法。 | + | - **搜尋群組的base DN**: 與FilterBasedLdapUserSearch是一樣的使用方法。 |
- | - 群組過濾規則: 以我的例子uniqueMember={0}來說,如果使用者為uid=tonylin,ou=sw,dc=testldap,dc=org,代表我要搜尋群組包含uniqueMember=uid=tonylin,ou=sw,dc=testldap,dc=org。 | + | - **群組過濾規則**: 以我的例子uniqueMember={0}來說,如果使用者為uid=tonylin,ou=sw,dc=testldap,dc=org,代表我要搜尋群組包含uniqueMember=uid=tonylin,ou=sw,dc=testldap,dc=org。 |
- | - setConvertToUpperCase: 搜尋到的群組名稱是否要轉為大寫,不轉則是照原本的。 | + | - **setConvertToUpperCase**: 搜尋到的群組名稱是否要轉為大寫,不轉則是照原本的。 |
- | - setRolePrefix: 搜尋到的群組名稱所要設定的prefix。 | + | - **setRolePrefix**: 搜尋到的群組名稱所要設定的prefix。 |
- | - setSearchSubtree: 是否要搜尋base DN底下的子群組,通常都是會搜尋的,除非要使用的群組並沒有子群。 | + | - **setSearchSubtree**: 是否要搜尋base DN底下的子群組,通常都是會搜尋的,除非要使用的群組並沒有子群。 |
- | ===== 執行認證 ===== | + | ==== 執行認證 ==== |
將我們設置的那些類別給塞到provider內,接著透過UsernamePasswordAuthenticationToken來模擬登入動作: | 將我們設置的那些類別給塞到provider內,接著透過UsernamePasswordAuthenticationToken來模擬登入動作: | ||
<code java> | <code java> | ||
行 68: | 行 68: | ||
===== 最後 ===== | ===== 最後 ===== | ||
除了以上,其實還有些沒提及又或者是我們有遇到並解決的問題: | 除了以上,其實還有些沒提及又或者是我們有遇到並解決的問題: | ||
- | * **SSL、TLS或SASL**: 透過更安全的連線或認證是必要的。 | + | * **SSL、TLS或SASL**: 透過更安全的連線或認證是必要的。 [[java:ldap:spring:ldapauthenticationprovider:secureconnection|參考文章]] |
* **匿名登入+安全性連線**: Spring Provider無法在匿名登入下,使用安全性連線。 | * **匿名登入+安全性連線**: Spring Provider無法在匿名登入下,使用安全性連線。 | ||
* **透過DN登入**: Spring Provider僅支援輸入使用者名稱方式。這方法對使用者是比較友善的,但如果在base dn下有重複的使用者名稱就沒轍了。輸入完整DN是替代方案。 | * **透過DN登入**: Spring Provider僅支援輸入使用者名稱方式。這方法對使用者是比較友善的,但如果在base dn下有重複的使用者名稱就沒轍了。輸入完整DN是替代方案。 | ||
+ | 以上有時間再教大家怎麼做。 | ||
===== ===== | ===== ===== | ||
---- | ---- | ||
\\ | \\ | ||
~~DISQUS~~ | ~~DISQUS~~ |