jboss EAP 6.3.3后备身份验证

时间:2015-05-27 02:27:04

标签: jboss spnego

我有一个要部署的应用程序需要SSO才能解决AD问题。这适用于以下代码段:

的JBoss-web.xml中

<security-domain>java:/jaas/SPNEGO</security-domain>
<valve>
  <class-name>org.jboss.security.negotiation.NegotiationAuthenticator</class-name>
</valve>

的JBoss部署-structure.xml 

<dependencies>
  <module name="javax.api" slot="main"/>
  <module name="org.jboss.security.negotiation" />
  <module name="sun.jdk" slot="main"/>
</dependencies>

domain.xml中

<subsystem xmlns="urn:jboss:domain:security:1.2">
  <security-domains>
    <security-domain name="other" cache-type="default">
      <authentication>
        <login-module code="Remoting" flag="optional">
          <module-option name="password-stacking" value="useFirstPass"/>
        </login-module>
        <login-module code="RealmDirect" flag="required">
          <module-option name="password-stacking" value="useFirstPass"/>
        </login-module>
      </authentication>
    </security-domain>
    <security-domain name="jboss-web-policy" cache-type="default">
      <authorization>
        <policy-module code="Delegating" flag="required"/>
      </authorization>
    </security-domain>
    <security-domain name="host" cache-type="default">
      <authentication>
        <login-module code="Kerberos" flag="optional">
          <module-option name="storeKey" value="true"/>
          <module-option name="useKeyTab" value="true"/>
          <module-option name="principal" value="HTTP/spn.xx.xx@xx.xx"/>
          <module-option name="keyTab" value="/xx/xx/xx.keytab"/>
          <module-option name="doNotPrompt" value="true"/>
          <module-option name="debug" value="true"/>
        </login-module>
      </authentication>
    </security-domain>
    <security-domain name="SPNEGO" cache-type="default">
      <authentication>
        <login-module code="SPNEGO" flag="requisite">
          <module-option name="password-stacking" value="useFirstPass"/>
          <module-option name="serverSecurityDomain" value="host"/>
          <module-option name="removeRealmFromPrincipal" value="true"/>
        </login-module>
        <login-module code="org.jboss.security.auth.spi.LdapExtLoginModule" flag="sufficient">
          <module-option name="password-stacking" value="useFirstPass"/>
          <module-option name="java.naming.factory.initial" value="com.sun.jndi.ldap.LdapCtxFactory"/>
          <module-option name="java.naming.provider.url" value="ldap://xx.xx.xx:389"/>
          <module-option name="bindDN" value="cn=xx,ou=xx,ou=xx,dc=xx,dc=xx"/>
          <module-option name="bindCredential" value="xxencryptmexx"/>
          <module-option name="baseCtxDN" value="ou=xx,ou=xx,dc=xx,dc=xx"/>
          <module-option name="baseFilter" value="(&amp;(samaccountname={0})(objectclass=user))"/>
          <module-option name="searchScope" value="ONELEVEL_SCOPE"/>
          <module-option name="allowEmptyPasswords" value="false"/>
          <module-option name="throwValidateError" value="true"/>
          <module-option name="rolesCtxDN" value="ou=xx,ou=xx,dc=xx,dc=xx"/>
          <module-option name="roleFilter" value="(member={1})"/>
          <module-option name="roleAttributeID" value="cn"/>
          <module-option name="roleAttributeIsDN" value="false"/>
          <module-option name="roleRecursion" value="2"/>
          <module-option name="java.naming.referral" value="follow"/>
        </login-module>
      </authentication>
    </security-domain>
  </security-domains>
</subsystem>

我想将相同的应用程序部署到具有不同配置文件的另一台服务器,而无需更改jboss-web.xml和jboss-deployment-structure.xml以使用fallback身份验证来使用databaseserverlogin模块。然后,其他人将使用此应用程序对其进行RPC调用(无SSO)。我尝试在下面堆叠登录模块:

<login-module code="org.jboss.security.auth.spi.DatabaseServerLoginModule" flag="required">
  <module-option name="dsJndiName" value="java:/MyDatabaseDS"/>
  <module-option name="principalsQuery" value="select passwd from Users where username=?"/>
  <module-option name="rolesQuery" value="select userRoles, 'Roles' from UserRoles where username=?"/>
  <module-option name="ignorePasswordCase" value="true"/>
</login-module>

我正在运行wget命令的错误(希望它将回退到databaseserverlogin模块)

HTTP request sent, awaiting response... 401 Unauthorized
Unknown authentication scheme.
Authorization failed.

我可以单独成功使用databaseserverlogin模块,但不能在jboss-web.xml中删除 valve 条目。

这种设置可行吗?我试图避免修改从开发中收到的WAR文件。

我尝试了以下link,但坚持找不到org.jboss.security.negotiation.NegotiationWithBasicFallbackAuthenticator的课程?我认为补丁会被包含在最新的jboss EAP 6.3.3中吗?可能是一个不好的假设。

提前感谢任何指导(如果我没有意义,请耐心等待)。

1 个答案:

答案 0 :(得分:1)

在RedHat支持的帮助下排序。

•要启用回退到基本功能,请将以下内容添加到WEB-INF / web.xml文件的顶部:

<context-param>
  <description>BASIC Authentication FallBack</description>
  <param-name>org.jboss.security.negotiation.NegotiationAuthenticator.BasicAuthFallBack</param-name>
  <param-value>true</param-value>
</context-param>

如果您拥有RedHat支持,请在此处链接到新创建的知识库解决方案 https://access.redhat.com/solutions/1488173

相关问题
最新问题