Question

我正在尝试进行身份验证，然后使用Spring Ldap Security和Spring Ldap查询AD树。

以下是我的配置文件 -

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
    xmlns:beans="http://www.springframework.org/schema/beans"
    xmlns:ldap="http://www.springframework.org/schema/ldap"
    xmlns:util="http://www.springframework.org/schema/util"
    xsi:schemaLocation="
        http://www.springframework.org/schema/security 
        http://www.springframework.org/schema/security/spring-security-3.2.xsd
        http://www.springframework.org/schema/beans 
        http://www.springframework.org/schema/beans/spring-beans-3.1.xsd
        http://www.springframework.org/schema/context 
        http://www.springframework.org/schema/context/spring-context.xsd 
        http://www.springframework.org/schema/ldap 
        http://www.springframework.org/schema/ldap/spring-ldap.xsd
        http://www.springframework.org/schema/util 
        http://www.springframework.org/schema/util/spring-util.xsd">

    <http use-expressions="true">
        <form-login login-page="/myApp/ldap" default-target-url="/myApp/ldap/config"
            authentication-failure-url="/myApp/ldap?error=true" />
        <logout />
    </http>

    <beans:bean
        class="org.springframework.beans.factory.config.PropertyPlaceholderConfigurer">
        <beans:property name="location">
            <beans:value>classpath:/ldap.properties</beans:value>
        </beans:property>
        <beans:property name="SystemPropertiesMode">
            <beans:value>2</beans:value>
        </beans:property>
    </beans:bean>

    <beans:bean id="adAuthenticationProvider" scope="prototype"
        class="org.springframework.security.ldap.authentication.ad.ActiveDirectoryLdapAuthenticationProvider">
        <!-- the domain name (may be null or empty). If no domain name is configured, it is assumed that the username will always contain the domain name. -->
        <beans:constructor-arg index="0" value="${sample.ldap.domain}" />
        <!-- an LDAP url (or multiple URLs) -->
        <beans:constructor-arg index="1" value="${sample.ldap.url}" />
        <!-- Determines whether the supplied password will be used as the credentials in the successful authentication token. -->
        <beans:property name="useAuthenticationRequestCredentials"
            value="true" />
        <!-- by setting this property to true, when the authentication fails the error codes will also be used to control the exception raised. -->
        <beans:property name="convertSubErrorCodesToExceptions"
            value="true" />
    </beans:bean>

    <authentication-manager erase-credentials="false">
        <authentication-provider ref="adAuthenticationProvider" />
    </authentication-manager>

    <beans:bean
        class="org.springframework.beans.factory.config.PropertyPlaceholderConfigurer">
        <beans:property name="location">
            <beans:value>classpath:/ldap.properties</beans:value>
        </beans:property>
        <beans:property name="SystemPropertiesMode">
            <beans:value>2</beans:value> <!-- OVERRIDE is 2 -->
        </beans:property>
    </beans:bean>

    <ldap:context-source id="contextSource" 
                         url="${sample.ldap.url}"
                         base="${sample.ldap.base}" 
                         referral="follow"
                         authentication-source-ref="authenticationSource" 
                         base-env-props-ref="baseEnvironmentProperties"/>

    <util:map id="baseEnvironmentProperties">
        <beans:entry key="com.sun.jndi.ldap.connect.timeout" value="60000" />
        <beans:entry key="java.naming.ldap.attributes.binary" value="objectGUID objectSid"/>
    </util:map>

    <beans:bean id="authenticationSource"
        class="org.springframework.security.ldap.authentication.SpringSecurityAuthenticationSource" />

    <ldap:ldap-template id="ldapTemplate"
        context-source-ref="contextSource" />

</beans:beans>

属性文件是 -

sample.ldap.url=ldap://xxx.xxx.xxx.xxx:3268
sample.ldap.base=dc=example,dc=com
sample.ldap.clean=true
sample.ldap.directory.type=AD
sample.ldap.domain=example.com

这些设置适用于以下登录 -

用户名 - example@example.com或示例密码 - 等等

但是当我尝试时失败 - 用户名 - example2@example.net或示例密码 - blah2

这两个都是有效登录，并已通过使用AD Explorer登录验证。

似乎我需要更新我的配置以支持UPN后缀/域，因为默认工作正常，其他则不行。

有没有办法可以附加到此配置文件以支持此逻辑，支持对多个域进行身份验证/查询？

Answer 1

原因是它不允许我使用配置的UPN后缀登录是因为ActiveDirectoryLdapAuthenticationProvider似乎假设UPN后缀始终与域名相同。

请参阅此帖子 - https://github.com/spring-projects/spring-security/issues/3204

我认为应该有更好的方法来处理这个问题，或者可能是更好的身份验证库。

Answer 2

解释@ NewBee的解决方案：

1 ActiveDirectoryLdapAuthenticationProvider：

使用Active Directory配置约定的专用LDAP authentication provider。
它将使用searchFilter形式的Active Directory userPrincipalName或sAMAccountName（或自定义username@domain）进行身份验证。如果username尚未以domain名称结尾，则会通过将配置的域名附加到userPrincipalName中提供的用户名来构建authentication request。如果未配置域名，则假定用户名始终包含域名。
用户权限来自memberOf属性中包含的数据。

2 LDAP authentication in Spring Security：

从登录名中获取唯一的LDAP Distinguished Name或DN。
- 这通常意味着在目录中执行search，除非事先知道用户名到DN的确切映射。因此，用户可以在登录时输入他/她的名字，但用于authenticate到LDAP的实际名称将是完整的DN，例如uid=(username),ou=users,dc=springsource,dc=com。
Authenticating the user，由binding作为该用户，或者通过对DN的目录条目中的密码属性执行用户密码的远程compare操作。 / p>
加载用户的权限列表。

参考How to configure multiple UPN Suffixes。另外在ActiveDirectoryLdapAuthenticationProvider中你可以编写一个函数来读取多个后缀，因为库是adaptable。

使用多个后缀值/域

2 个答案: