如何将WAS 8联邦repo LDAP组绑定到应用程序?
我使用的是WAS V8.0.0.5中的联邦存储库。该联邦repo包含一个JDBC repo、3个Active Directory LDAP repo和一个基于文件的repo。Repo被设置为一个领域和域,由Java EE6企业应用程序使用。我正在实现Java EE6安全性,特别是Servlet规范3.0身份验证。
我发现,如果我将特定的用户映射到ibm-application-bnd.xml中的组以用于LDAP repos,那么就可以确认用户的角色。这使我觉得Active Directory用户和组之间的映射配置有问题。
就配置而言,我将讨论其中的一个LDAP repo:
我在LDAP实体类型中定义了Group,将其映射到对象类Group;groupofnames;groupofuniquenames(我认为Group是刚需要的,但我一直在尝试解决这个问题)。
PersonAccount映射到对象类user。
出于绝望,我还创建了一个受支持的LDAP属性memberOf并将其映射到PersonAccount实体类型。
至于Group属性定义,我将“Group membership attribute”设置为“memberOf”,并指定了一个范围“direct”。我还尝试了“memberof”,但没有改变任何东西。
使用Apache Directory Studio浏览Active Directory,我可以确认user和group是我正在寻找的两个对象类。
有人能解释一下我的配置有什么问题吗?
共有1个答案
我花了一段时间,但我终于想通了!
我需要在ibm-application-bnd.xml的group标记中声明一个access-id属性。
在WAS管理控制台中,单击Security-->Security Domains-->Your Domain-->Expand User Realm(应该选择Customize for this domain)-->,然后单击Manage users,您将看到所有组的列表,无论它们是来自JDBC自定义用户注册表、LDAP repo还是平面文件repo的组。
您希望对LDAP回购使用唯一名称字段。复制该名称,然后将其粘贴到ibm-application-bnd.xml中,如下所示:
<security-role name="ADMIN">
<group name="SomeArbitraryGroupName" access-id="group:yourRealm/CN=SomeArbitraryGroupName,OU=Groups,OU=SomeDivision,OU=SomeLocatoin,o=distinguishedNameOfABaseEntry"/>
</security-role>
如果有更好的方法来完成这项任务,那就太好了。否则,我希望这篇文章能帮助其他人清除IBM关于这个主题的模糊、缺失或分散的文档。
-
问题内容: 我有一个JList和ArrayList。如何将arraylist中的数据绑定到jlist.Ares有替代方法吗? 如何绑定以上代码。现在代码给出错误。 问题答案: 您无需克隆ArrayList。只需调用toArray()
-
我刚刚创建了一个java应用程序,并使用moditect jlink(包括JRE)创建了一个映像。但是现在我想知道如何把它打包成一个。OSX的应用程序文件。有人试过吗?似乎jpackage在不断变化,教程很快就过时了。
-
android开发者指南说 活动应该注册最特定的意图过滤器,以避免活动选择器对话框,这可能会在用户与屏幕交互时中断与标签的交互。 我正在开发一个应用程序,应该只选择他的MIME类型,并且没有显示活动选择器是非常重要的,但是我想知道:如果在同一个设备中有一个通用的NFC阅读器应用程序会发生什么?活动选择器会被显示还是我的应用程序会刚刚启动?
-
问题内容: 我目前正在使用 属性启动Java VM,以便可以通过JConsole连接到Java VM 进行管理和监视。不幸的是,它监听计算机上的所有接口(IP地址)。 在我们的环境中,通常情况下,一台机器上同时运行多个Java VM。尽管可以告诉JMX侦听不同的TCP端口(使用),但是最好让JMX使用标准的JMX端口并仅绑定到特定的IP地址(而不是所有IP地址)。 这将使查找通过JConsole连
-
我需要做一个滑块,允许用户输入0和1之间的数字在0.1步。由于JSlider只允许整数值,我给了它一个从0到10的范围,并将一个JLabel绑定到Slider的值。但我希望标签显示十进制数字(值/10.0)。我怎么能那样做?我正在使用Netbeans 7.4 GUI编辑器。当我尝试将绑定表达式编辑为${value}/10时,它只是将其附加为字符串。converter中的组件选择器窗口只显示“不支持
-
Kubernetes v1.9声称单集群最多可支持5000个节点和15万个Pod,我相信很少有公司会部署如此庞大的一个单集群,总有很多情况下因为各种各样的原因我们可能会部署多个集群,但是有时候有想将他们统一起来管理,这时候就需要用到集群联邦(Federation)。 为什么要使用 federation Federation 使管理多个集群变得简单。它通过提供两个主要构建模块来实现: 跨集群同步资源