我有自由配置文件身份验证与MS Active目录一起使用。但我无法设置角色映射到组。
我在web.xml中创建了一个安全角色:
<security-role>
<description>Users who are authorized to do update and insert operations</description>
<role-name>AuthorizedUser</role-name>
</security-role>
对于使用wmm的完整WAS,我已将该角色映射到ibm-application-bnd.xml中的一个组:
<security-role name="AuthorizedUser" >
<group name="mygroup" access-id="group:defaultWIMFileBasedRealm/CN=mygroup,OU=myorg,DC=mydomain,DC=AD,DC=myco,DC=com"/>
</security-role>
但这与自由概况无关 我是否需要更改access-id?
答案 0 :(得分:1)
accessId必须使用与用户注册表配置完全相同的域名。例如,如果您的注册表配置如此:
<ldapRegistry realm="myLDAPRealm"/>
然后您的accessId值必须采用相同的值
<security-role name="AuthorizedUser" >
<group name="mygroup" access-id="group:myLDAPRealm/..."/>
</security-role>
LDAP注册表的默认域名是“LdapRegistry”,作为参考,基本注册表的默认域名是“BasicRegistry”。
正如AJ_R指出的那样,您可以完全删除access-id字段,并自动生成access-id。通常,不必手动指定access-id值。
答案 1 :(得分:1)
问题是“memberOf”中的b / c'o'!='O',我不认为这在TWAS中是区分大小写的。
自定义MS Active目录groupMemberIdMap修复了组搜索:
<activedFilters groupMemberIdMap="memberOf:member"/>
答案 2 :(得分:0)
配置MS Active目录时是否使用了相同的realmName(defaultWIMFileBasedRealm)? 您也可以尝试删除access-id(只使用组名),让自由服务器使用为注册表定义的relamName生成它,看看是否有帮助。