在Weblogic中配置容器管理的安全性

Question

任何人都知道这方面的指南吗？我是weblogic和容器管理安全的完全新手。我已经做的是：

1. 在Weblogic中设置LDAP身份验证器
2. 在Eclipse中创建了一个简单的webapp
3. 配置web.xml：添加了security-constraint，security-role和login-config元素。使用的领域名称是“myrealm”，它已经存在于Weblogic中。我使用的角色名称是“Admin”，它是Weblogic中的全局角色
4. 创建一个简单的jsp页面“login.jsp”。它实际上并没有进行任何登录，只是一个Hello World类型的东西。我在web.xml
的login-config中将此页面设置为form-login-page和form-error-page
5. 将此webapp导出为war文件并将其部署在Weblogic
中
6. 我通过访问http://weblogic-server/test/login.jsp来测试它，我希望我首先会被要求使用LDAP用户登录。这不会发生，它只显示Hello World jsp。

我还尝试添加weblogic.xml以将“Admin”角色映射到特定的LDAP用户（不起作用）。

有什么建议吗？对于这类事情似乎缺乏在线参考（或者我真的不知道我应该搜索什么）

编辑：我也尝试过使用BASIC auth而不是FORM（没有运气）

我的web.xml设置如下：

<security-constraint>
<display-name>Test SC</display-name>
<web-resource-collection>
    <web-resource-name>Test WR</web-resource-name>
    <url-pattern>/hello.jsp</url-pattern>
    <http-method>*</http-method>
</web-resource-collection>
<auth-constraint>
    <role-name>Admin</role-name>
</auth-constraint>
</security-constraint>

<security-role>
<role-name>Admin</role-name>
</security-role>

  <login-config>
    <auth-method>BASIC</auth-method>
    <realm-name>myrealm</realm-name>
</login-config>

Answer 1

登录页面必须使用2个必填字段进行某种登录。您已经保护了web.xml中的hello_world.jsp页面并转到那些页面，将显示登录页面。

编辑： 订单不正确：应为security-constraint，login-config和security-role。 在web-resource-collection内，*的值对http-method无效。如果你想保护每一种方法，就把它丢弃吧。

注意：服务器日志记录会暗示web.xml中元素的顺序不正确。