我们使用LDAP对tomcat服务器上的和授权用户进行身份验证,但现在需要从LDAP中删除密码并切换到kerberos身份验证。
现在我们想验证用户使用kerberos (工作已经很好)并成功,检索指定的角色来自 LDAP 数据库的登录用户。
我天真的希望是使用例如一个简单的自制领域和/或WSDLs安全约束/ -roles机制,a)使用JAAS领域进行身份验证并成功b)传递给JNDI领域,从LDAP DB中为经过身份验证的用户检索角色。
我可以找到一些所需步骤的许多片段(检索角色,简单的自制领域......),但不容易遵循示例,我仍然不确定这种方法是否合适(特别是因为我我对这个话题很陌生!)。
答案 0 :(得分:0)
只需四舍五入此线程。找到了一个名为 ldaptive 的不错的解决方案(请参见http://www.ldaptive.org/)。在这里,我可以确切地指定kerberos登录模块(com.sun.security.auth.module.Krb5LoginModule)和LDAP进行授权(org.ldaptive.jaas.LdapRoleAuthorizationModule)。很久以来,我们一直在使用此模块,并且它可以完美地运行!