Написать

Ru

Deutsch

Тёмная тема

Написать

Тёмная тема

Ru

Deutsch
spring-ldapspring-securityjavaactive-directory

Аутентификация Active Directory с использованием Spring Security 3.2, Spring Ldap 2.0 и JavaConfig

Я пишу веб-приложение, которое требует от пользователей входа в систему. В моей компании есть сервер Active Directory, который я хотел бы использовать для этой цели. Однако у меня возникают проблемы с использованием Spring для проверки подлинности учетных данных пользователей.

Я использую Spring Security 3.2.2, Spring Ldap 2.0.1 и Java 1.7.

Веб-приложение запускается хорошо, аутентификация с помощью InMemory-Authentication тоже работает хорошо, поэтому остальная часть моего приложения настроена правильно.

Вот мой Конфиг:

@Configuration
@EnableWebSecurity
public class LdapConfig extends WebSecurityConfigurerAdapter {

    @Bean
    public ActiveDirectoryLdapAuthenticationProvider activeDirectoryLdapAuthenticationProvider() {
        val provider = new ActiveDirectoryLdapAuthenticationProvider("my.domain", "ldap://LDAP_ID:389/OU=A_GROUP,DC=domain,DC=tld");
        provider.setConvertSubErrorCodesToExceptions(true);
        provider.setUseAuthenticationRequestCredentials(true);
        provider.setUseAuthenticationRequestCredentials(true);
        return provider;
    }

    @Bean
    public LoggerListener loggerListener() {
        return new LoggerListener();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.authenticationProvider(activeDirectoryLdapAuthenticationProvider());
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // Configuration for Redirects, Login-Page and stuff
    }   
}

Когда я пытаюсь войти, используя MY_USERNAME и MY_PASSWORD, я получаюAuthentication request failed: org.springframework.security.authentication.BadCredentialsException: Bad credentials

Полная Stacktrace:

14:59:00,508 DEBUG UsernamePasswordAuthenticationFilter:205 - Request is to process authentication
14:59:00,509 DEBUG ProviderManager:152 - Authentication attempt using org.springframework.security.ldap.authentication.ad.ActiveDirectoryLdapAuthenticationProvider
14:59:00,509 DEBUG ActiveDirectoryLdapAuthenticationProvider:65 - Processing authentication request for user: USERNAME
14:59:00,563 ERROR ActiveDirectoryLdapAuthenticationProvider:133 - Failed to locate directory entry for authenticated user: USERNAME
javax.naming.NameNotFoundException: [LDAP: error code 32 - 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
    'OU=A_GROUP,DC=domain,DC=tld'
    at com.sun.jndi.ldap.LdapCtx.mapErrorCode(Unknown Source)
    at com.sun.jndi.ldap.LdapCtx.processReturnCode(Unknown Source)
    at com.sun.jndi.ldap.LdapCtx.processReturnCode(Unknown Source)
    at com.sun.jndi.ldap.LdapCtx.searchAux(Unknown Source)
    at com.sun.jndi.ldap.LdapCtx.c_search(Unknown Source)
    at com.sun.jndi.ldap.LdapCtx.c_search(Unknown Source)
    at com.sun.jndi.toolkit.ctx.ComponentDirContext.p_search(Unknown Source)
    at com.sun.jndi.toolkit.ctx.PartialCompositeDirContext.search(Unknown Source)
    at javax.naming.directory.InitialDirContext.search(Unknown Source)
    at org.springframework.security.ldap.SpringSecurityLdapTemplate.searchForSingleEntryInternal(SpringSecurityLdapTemplate.java:208)
    at org.springframework.security.ldap.authentication.ad.ActiveDirectoryLdapAuthenticationProvider.searchForUser(ActiveDirectoryLdapAuthenticationProvider.java:285)
    at org.springframework.security.ldap.authentication.ad.ActiveDirectoryLdapAuthenticationProvider.doAuthentication(ActiveDirectoryLdapAuthenticationProvider.java:130)
    at org.springframework.security.ldap.authentication.AbstractLdapAuthenticationProvider.authenticate(AbstractLdapAuthenticationProvider.java:80)
    at org.springframework.security.authentication.ProviderManager.authenticate(ProviderManager.java:156)
    at org.springframework.security.authentication.ProviderManager.authenticate(ProviderManager.java:177)
    at org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter.attemptAuthentication(UsernamePasswordAuthenticationFilter.java:94)
    at org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter.doFilter(AbstractAuthenticationProcessingFilter.java:211)
    at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:342)
    at org.springframework.security.web.authentication.logout.LogoutFilter.doFilter(LogoutFilter.java:110)
    ... a few more

14:59:00,597  WARN LoggerListener:60 - Authentication event AuthenticationFailureBadCredentialsEvent: USERNAME; details: org.springframework.security.web.authentication.WebAuthenticationDetails@0: RemoteIpAddUSERNAME: 0:0:0:0:0:0:0:1; SessionId: 1E9401031886F0155F0ACE881CC50A4B; exception: Bad credentials
14:59:00,597 DEBUG UsernamePasswordAuthenticationFilter:348 - Authentication request failed: org.springframework.security.authentication.BadCredentialsException: Bad credentials
14:59:00,597 DEBUG UsernamePasswordAuthenticationFilter:349 - Updated SecurityContextHolder to contain null Authentication
14:59:00,597 DEBUG UsernamePasswordAuthenticationFilter:350 - Delegating to authentication failure handler org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler@3d876453

Когда я просматриваю AD с помощью Ldap-Explorer и ищу(&(objectClass=user)(userPrincipalName=MY_USERNAME))То, что Spring делает в ActiveDirectoryLdapAuthenticationProvider: searchForUser (...), возвращает правильного пользователя.

При вводе неверного пароля Spring возвращаетActiveDirectoryLdapAuthenticationProvider:200 - Active Directory authentication failed: Supplied password was invalid, Кажется, все в порядке.

Отсутствует ли деталь для конфигурации?

Есть ли рабочие примеры того, как настроить Spring Ldap для AD, используя JavaConfig? Официальное руководство Spring просто описывает XML-путьhttp://docs.spring.io/spring-security/site/docs/3.1.5.RELEASE/reference/ldap.html#ldap-active-directory

Обновить: Просто обновил мой AuthenticationProvider следующим образом:

@Bean
public ActiveDirectoryLdapAuthenticationProvider activeDirectoryLdapAuthenticationProvider() {
    val provider = new ActiveDirectoryLdapAuthenticationProvider("company.tld", "ldap://LDAP_URL:389");
    provider.setConvertSubErrorCodesToExceptions(true);
    provider.setUseAuthenticationRequestCredentials(true);

    provider.setAuthoritiesMapper(myAuthoritiesMapper()); // see http://comdynamics.net/blog/544/spring-security-3-integration-with-active-directory-ldap/

    provider.setUseAuthenticationRequestCredentials(true);

    return provider;
}

Работает нормально, спасибо Гидо!

Примечание. Spring сообщает, что исключение PartialResultException игнорируется. Документы говорят

Некоторые серверы Active Directory (AD) не могут автоматически следовать рефералам, что часто приводит к возникновению исключения PartialResultException при поиске. Вы можете указать, что PartialResultException следует игнорировать, установив для свойства ignorePartialResultException значение true.

Может быть, есть способ установить это свойство и в JavaConfig. Я просто проигнорировал это.

Ответы на вопрос(1)

Ваш ответ на вопрос

Популярные вопросы

0 ответов

Как преобразовать массив моделей ActiveRecord в CSV?

0 ответов

Как настроить пользовательский параметр типа «файл» при добавлении товара в корзину в Magento?

0 ответов

Загрузка файла Jquery WebApi

0 ответов

Коммутатор дает ошибку несовместимых типов

0 ответов

Клиент JAX-WS без файла документа WSDL