我在GlassFish中使用LDAP Realm进行身份验证,并希望将具有JAAS的组映射到可在JSF中使用的角色。有两个组,ADMIN和USER。我的问题是,如何正确配置GlassFish以允许两个组登录并将它们映射到不同的角色。
当前配置是,全部大写单词是实际值的子结构:
Directory: ldap://SERVER:389
Base DN: ou=USERS,o=COMPANY
Assign Groups: Authenticated
在LDAP用户对象中,该组属于groupMembership属性,如下所示:
groupMembership: cn=ADMIN/USER,ou=GROUPS,ou=FOOBAR,o=COMPANY
目前的映射是:
<security-role-mapping>
<role-name>Authenticated</role-name>
<group-name>Authenticated</group-name>
</security-role-mapping>
我只需要ADMIN组的用户拥有另一个角色,这使我能够访问我的JSF应用程序的受限区域,只有“已验证”的用户无权访问。