欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

《Spring Security3》第九章(LDAP)第三部分翻译(LDAP明确配置)

程序员文章站 2022-03-02 16:02:13
...

 

明确的LDAP bean配置

         在本节中,我们带领你学会明确配置以下两项功能所需要的bean集合,即连接外部的LDAP服务器和支持授权的LdapAuthenticationProvider。正如其它基于bean的配置,你可能不希望这样做,除非你发现security命名空间风格的配置不能支持你的业务或技术需求——在这种情况下,请继续阅读。

配置外部的LDAP服务器引用

         为了实现这个配置,我们假设在本地的10389端口上运行着LDAP服务器,与前面章节的对应<ldap-server>有相同的配置。需要的bean定义在dogstore-base.xml中提供,如下:

 

<bean class="org.springframework.security.ldap.DefaultSpringSecurityContextSource"
 id="ldapServer">
  <constructor-arg value="ldap://localhost:10389/dc=jbcppets,dc=com"/>
  <property name="userDn" value="uid=admin,ou=system"/>
  <property name="password" value="secret"/>
</bean>

 接下来,我们需要配置稍微复杂一些的LdapAuthenticationProvider

 

配置LdapAuthenticationProvider

         如果你已经读过并理解本章中关于Spring Security LDAP如何工作的讲解,那这个bean配置就很容易理解了,尽管稍有些复杂。我们将会配置一个包含如下特性的LdapAuthenticationProvider

l  用户的凭证进行绑定认证(不是密码对比);

l  UserDetailsContextMapper中使用InetOrgPerson

让我们开始吧——首先我们声明LdapAuthenticationProvider

 

<bean class="org.springframework.security.ldap.authentication.LdapAuthenticationProvider" id="ldapAuthProvider">
  <constructor-arg ref="ldapBindAuthenticator"/>
  <constructor-arg ref="ldapAuthoritiesPopulator"/>
  <property name="userDetailsContextMapper" ref="ldapUserDetailsConte
xtMapper"/>
</bean>

 

 接下来是BindAuthenticator以及支持的FilterBasedLdapUserSearch bean(用来在绑定前在LDAP目录中定位用户的DN):

 

<bean class="org.springframework.security.ldap.authentication.BindAuthenticator" id="ldapBindAuthenticator">
  <constructor-arg ref="ldapServer"/>
  <property name="userSearch" ref="ldapSearchBean"/>
</bean>
<bean class="org.springframework.security.ldap.search.FilterBasedLdapUserSearch" 
id="ldapSearchBean">
  <constructor-arg value=""/> <!-- user-search-base -->
  <constructor-arg value="(uid={0})"/> <!-- user-search-filter -->
  <constructor-arg ref="ldapServer"/>
</bean>

 

          最后是LdapAuthoritiesPopulatorUserDetailsContextMapper,它们的角色我们在前文中已经介绍过:

 

<bean class="org.springframework.security.ldap.userdetails.DefaultLdapAuthoritiesPopulator"
 id="ldapAuthoritiesPopulator">
  <constructor-arg ref="ldapServer"/>
  <constructor-arg value="ou=Groups"/>
  <property name="groupSearchFilter" value="(uniqueMember={0})"/>
</bean>
<bean class="org.springframework.security.ldap.userdetails.InetOrgPersonContextMapper"
 id="ldapUserDetailsContextMapper"/>

 

        最后需要配置的元素是对我们LdapAuthenticationProvider的引用,我们将会在dogstore-security.xml中通过引用进行声明:

 

<authentication-manager alias="authenticationManager">
  <authentication-provider ref="ldapAuthProvider"/>
</authentication-manager>

 到此时为止,我们已经使用明确Spring bean的方法配置了LDAP认证。正如我们在第六章:高级配置和扩展第一次引入明确bean配置那样,在LDAP集成中使用这项技术能够在security命名空间配置没有暴露特定属性时,或者需要自定义的实现类以满足特定业务场景的地方很有用。接下来,我们将会介绍一个这样的场景即怎样通过LDAP连接到Microsoft Active Directory

 

通过LDAP集成Microsoft Active Directory

         Microsoft Active Directory的一个便利功能是它不仅能够很好的与基于Microsoft Windows网络的结构集成,还能够配置成使用LDAP协议保罗Active Directory内容。如果你们是使用Windows的公司,很可能任何的LDAP集成都是基于你的Active Directory实例。

         取决于你的Microsoft Active Directory配置(以及目录管理员支持Spring Security LDAP的意愿),你可能遇到的困难不在认证和绑定的过程中而是匹配Active Directory中的信息到Spring Security系统中的用户GrantedAuthority上。

         JBCP Pets公司的Active Directory LDAP树的实例在LDAP浏览器中的截图如下:


《Spring Security3》第九章(LDAP)第三部分翻译(LDAP明确配置)
            
    
    博客分类: Spring SecurityJ2EE  
 在这里你没有看到前面实例LDAP结构中的ou=Groups——这是因为Active Directory在用户条目本身上以属性的方式存储分组信息。内置的Spring Security(本书出版之时)并没有提供支持典型Active Directory LDAP树的LdapAuthoritiesPopulator

         让我们使用刚刚了解到的明确配置bean的方式来织入一个简单的LdapAuthoritiesPopulator实现,它只是简单的为每个LDAP认证的用户授予ROLE_USER角色。我们将这个类称为com.packtpub.springsecurity.security.SimpleRoleGrantingLdapAuthoritiesPopulator

 

public class SimpleRoleGrantingLdapAuthoritiesPopulator implements
    LdapAuthoritiesPopulator {
  protected String role = "ROLE_USER";
  public Collection<GrantedAuthority> getGrantedAuthorities(
      DirContextOperations userData, String username) {
    GrantedAuthority ga = new GrantedAuthorityImpl(role);
    return Arrays.asList(ga); 
  }
  public String getRole() {
    return role;
  }
  public void setRole(String role) {
    this.role = role;
  }
}

 并不十分令人兴奋,但是要记住如果需要的话你可以使用传入的o.s.ldap.core.DirContextOperations对象进行很多类型的LDAP操作,如查询目录获取用户的信息以及使用这些信息填充返回的角色。

         假设我们从上一节中的bean配置开始,让我们看一下怎样修改配置以支持Active Directory结构。

 

  <bean class="org.springframework.security.ldap.
DefaultSpringSecurityContextSource" id="ldapServer">
    <constructor-arg value="ldap://corp.jbcppets.com/dc=corp,dc=jbcppets,dc=com"/>
<property name="userDn" 
value="CN=Administrator,CN=Users,DC=corp,DC=jbcppets,DC=com"/>
    <property name="password" value="admin123!"/>
  </bean>
  <bean class="org.springframework.security.ldap.search.FilterBasedLdapUserSearch"
    id="ldapSearchBean">
<constructor-arg value="CN=Users"/>
<constructor-arg value="(sAMAccountName={0})"/>
<constructor-arg ref="ldapServer"/>
</bean>
<bean class="com.packtpub.springsecurity.security.SimpleRoleGrantingLdapAuthoritiesPopulator" id="ldapAuthoritiesPopulator"/>

 属性sAMAccountName是在Active Directory中与标准LDAP条目的uid属性对等的——其它的配置修改都是典型的Active Directory配置。

         尽管大多数的Active Directory LDAP集成都可能比本例复杂,但这会给你一个深入理解和探索Spring Security LDAP内部原理的起点,会使得支持更复杂的集成会简单一点。

         注意存在另外一种与Active Directory集成的方式——Kerberos认证,它是Spring Security扩展项目的一部分,并会在第十二章:Spring Security扩展中涉及到。你可能会愿意了解两种类型的集成并确定哪种更适合你的需求(我们将会在第十二章中,比较Active DirectoryLDAPKerberos认证)。

委托角色查询给UserDetailsService

         最后一项明确配置bean支持的技术就是在UserDetailsService中根据用户名查找用户并在此处获取GrantedAuthority。配置很简单就像声明一个bean,含有一个对UserDetailsService引用(就像基于JDBC的或我们在前面的章节中用到过的):

 

<bean class="org.springframework.security.ldap.authentication.UserDetailsServiceLdapAuthoritiesPopulator" id="ldapAuthoritiesPopulator">
   <constructor-arg ref="jdbcUserServiceCustom"/>
 </bean>

 你可能会预见到的逻辑和管理问题是用户名和角色必须同时在LDAP中和UserDetailsService所有的存储中管理——在大型用户场景下这可能不是一个灵活的模式。

         这种场景的通常用在需要LDAP认证确保应用中的用户即为公司用户,但是应用本身想存储授权信息。这会导致潜在的应用相关数据在LDAP目录以外,这可能会是出于分开操作的考虑。

小结

         我们已经看到在接受请求时,可以依赖LDAP服务器提供认证和授权信息,以及丰富的用户个人信息。在本章中,我们学到了:

l  LDAP术语和概念,并理解了LDAP 目录怎样组织以支持Spring Security

l  Spring Security配置文件中配置单独的(嵌入式的)和外部的LDAP服务器;

l  基于LDAP存储认证和授权用户,以及随后的匹配Spring Security角色;

l  LDAP中不同的认证模式、密码存储和安全机制——以及在Spring Security中怎样处理;

l  匹配LDAP目录中的用户详细信息到UserDetails对象中,实现LDAP和使用Spring应用的属性交换;

l  LDAP的明确bean配置,以及这种方式的优劣。

 

 

 

  • 《Spring Security3》第九章(LDAP)第三部分翻译(LDAP明确配置)
            
    
    博客分类: Spring SecurityJ2EE  
  • 大小: 102.9 KB