Configurar Tomcat para autenticar mediante el uso de Active Directory de Windows

¿Cuál es la mejor manera de configurar Tomcat 5.5 o posterior para autenticar a los usuarios de Active Directory de Windows?

InformationsquelleAutor santtu | 2008-11-06

4 Kommentare

  1. 25

    de http://www.jspwiki.org

    Ver : ActiveDirectoryIntegration

    Intente esto en el server.xml con ldap-configuración :

    <Realm className="org.apache.catalina.realm.JNDIRealm" debug="99"
    
               connectionURL="ldap://youradsserver:389"
               alternateURL="ldap://youradsserver:389"         
               userRoleName="member"
               userBase="cn=Users,dc=yourdomain"
               userPattern="cn={0},cn=Users,dc=yourdomain"
               roleBase="cn=Users,dc=yourdomain"
               roleName="cn"
               roleSearch="(member={0})"
               roleSubtree="false"
               userSubtree="true" 
       />
    

    y definir el papel en el tomcat-users.xml y el web.xml de su aplicación

    editar webapp_root/WEB_INF/Web.xml archivo de la siguiente manera:

    <security-constraint>
       <display-name>your web app display name</display-name>
       <web-resource-collection>
         <web-resource-name>Protected Area</web-resource-name>
         <url-pattern>*.jsp</url-pattern>
         <url-pattern>*.html</url-pattern>
         <url-pattern>*.xml</url-pattern>
       </web-resource-collection>
       <auth-constraint>
         <role-name>yourrolname(ADS Group)</role-name>
       </auth-constraint>
     </security-constraint>
     <login-config>
       <auth-method>FORM</auth-method>
       <form-login-config>
         <form-login-page>/login.jsp</form-login-page>
         <form-error-page>/error.jsp</form-error-page>
       </form-login-config>
     </login-config>
     <security-role>
       <description>your role description</description>
       <role-name>yourrolename(i.e ADS group)</role-name>
     </security-role>
    
    • Nuevo Enlace para http://www.jspwiki.org (Gracias Antonio)
    • Ya que no hay conexión nombre de usuario o la contraseña especificada en el context.xml, parece ser que esto solo funciona si anónimo de las búsquedas se les permite obtener la lista de funciones.
    • El enlace ha cambiado de nuevo. No puedo estar 100% seguro, porque no he visto el vinculado originalmente página, pero ahora puede ser en algún lugar de aquí.
    • Hay alguna documentación sobre el individuo, las etiquetas XML aquí? Quiero activar la autenticación a través de un navegador, no a través de formulario de inicio de sesión.
  2. 18

    Blauhr la respuesta es buena, pero la CN de un usuario en AD se basa en su «Nombre para Mostrar», no su saMAccountName (de usuario que se utiliza para el registro en con). Con base en su solución, parece que alguien tendría que iniciar sesión con su Nombre para Mostrar, con base en la userPattern.

    Yo personalmente he utilizado el siguiente:

          <Realm className="org.apache.catalina.realm.JNDIRealm" debug="99"
            connectionURL="ldap://DOMAIN_CONTROLLER:389"
            connectionName="[email protected]"
            connectionPassword="USER_PASSWORD"
            referrals="follow"
            userBase="OU=USER_GROUP,DC=DOMAIN,DC=com"
            userSearch="(sAMAccountName={0})"
            userSubtree="true"
            roleBase="OU=GROUPS_GROUP,DC=DOMAIN,DC=com"
            roleName="name"
            roleSubtree="true"
            roleSearch="(member={0})"
      />
    

    Todo lo demás sería prácticamente el mismo.

  3. 2

    El LDAP autenticación basada en obras sin pasos adicionales en cualquier sistema operativo.

    http://spnego.sf.net puede ser utilizado para el silencio de autenticación de usuarios registrados en el Dominio de Windows. Esto requiere una cuenta de dominio que está registrado en el dominio sea autorizado por el servicio prestado. Funciona tanto en Windows como en Linux.

  4. 0

    «Bienvenido a la SPNEGO del proyecto en SourceForge
    La Autenticación de Windows integrada en Java

    La intención de este proyecto es ofrecer una alternativa de biblioteca (.archivo jar) que los servidores de aplicaciones (como Tomcat) puede utilizar como medio de autenticación de los clientes (como los navegadores web).

    Si su organización está ejecutando de Active Directory (AD) y todas sus aplicaciones web ir a través de Microsoft Internet Information Services (IIS), y de IIS ha Integrado habilitada la Autenticación de Windows, y que todos en su organización es el uso de Internet Explorer (IE), entonces este proyecto no puede ser de cualquier interés.»

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Pruebas en línea