我正在改变现有的Java EE 7 Web应用程序,以使用标准的Java EE安全域机制对Active Directory进行身份验证。我开始创建一个简单的概念验证Web应用程序来测试事物并使Wildfly配置工作,然后我将更改应用到主应用程序。我现在处于测试应用程序工作但主应用程序没有的情况下。
如何让主应用程序正确使用安全域?我该如何诊断这个问题?什么会干扰安全过程?
这是我在standalone.xml中的领域和域配置:
<security-realms>
<!-- Default realms omitted -->
<security-realm name="ActiveDirectoryRealm">
<authentication>
<ldap connection="MyAD" base-dn="OU=Test Users,OU=AU,DC=company,DC=int">
<username-filter attribute="sAMAccountName"/>
</ldap>
</authentication>
</security-realm>
</security-realms>
<outbound-connections>
<ldap name="MyAD" url="ldap://company.int" search-dn="CN=Wildfly AS,OU=Service Accounts,OU=AU,DC=company,DC=int" search-credential="xxx"/>
</outbound-connections>
<!-- Skip many lines -->
<security-domain name="active-directory" cache-type="default">
<authentication>
<login-module code="Remoting" flag="optional">
<module-option name="password-stacking" value="useFirstPass"/>
</login-module>
<login-module code="RealmDirect" flag="sufficient">
<module-option name="password-stacking" value="useFirstPass"/>
<module-option name="realm" value="ActiveDirectoryRealm"/>
</login-module>
</authentication>
</security-domain>
这是我的jboss-web.xml文件(在两个应用程序中都相同):
<jboss-web>
<security-domain>active-directory</security-domain>
</jboss-web>
最后是web.xml的安全位(两个应用程序中的相同,除了URL模式受限制):
<security-constraint>
<web-resource-collection>
<web-resource-name>Unauthenticated Resources</web-resource-name>
<url-pattern>/css/*</url-pattern>
<url-pattern>/font/*</url-pattern>
<url-pattern>/images/*</url-pattern>
<url-pattern>/js/*</url-pattern>
<url-pattern>/lib/*</url-pattern>
<url-pattern>/partials/*</url-pattern>
</web-resource-collection>
</security-constraint>
<security-constraint>
<web-resource-collection>
<web-resource-name>All Resources</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>*</role-name>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>FORM</auth-method>
<realm-name>My Realm</realm-name>
<form-login-config>
<form-login-page>/Login.html</form-login-page>
<form-error-page>/NoAccess.html</form-error-page>
</form-login-config>
</login-config>
<security-role>
<role-name>*</role-name>
</security-role>
有关应用的一些事实:
测试应用程序运行正常,但主应用程序总是无法登录(我被重定向到form-error-page)。我为org.jboss.security
启用了TRACE登录,但是当我尝试登录时,我得到的是:
2015-07-22 13:36:54,903 TRACE [org.jboss.security] (default task-1) PBOX000354: Setting security roles ThreadLocal: null
对于额外的陌生点,我可以将jboss-web.xml中的安全域值设置为active-directory
或java:/jaas/active-directory
,并且两者都有效,但是在主应用程序中使用前缀会导致其失败开始。我知道the prefix is no longer supported in Wildfly 8但不确定为什么两个应用之间的行为不同。
提前感谢您的任何帮助和建议,非常感谢!
答案 0 :(得分:1)
嗯,这很令人尴尬......事实证明问题出在我的登录表单中。我认为两个应用程序之间的相同,但主应用程序在输入字段的名称中有一个领先的空间。