Liberty ldap安全角色/组映射无法正常工作

Question

在我的server.xml中，我有以下配置：

<enterpriseApplication location="myApp.ear" name="myApp" id="myapp" autoStart="true">
    <classloader commonLibraryRef="global" apiTypeVisibility="spec, ibm-api, api, third-party"/>
    <application-bnd >
        <security-role name="MyAdmin">
            <group name="App.Admin"/>
            <group name="cn=App.Admin,ou=ent,ou=App,ou=apps,o=somedir"/>
            <!--user name="memyselfandi"/-->
            <!--group name="App.Admin" access-id="group:LdapRegistry/cn=App.Admin,ou=ent,ou=App,ou=apps,o=somedir"/-->
        </security-role>
    </application-bnd>
</enterpriseApplication>

身份验证后我的主题如下所示：

    Principal: WSPrincipal:uid=MEMYSELFANDI,ou=person,o=somedir
    Public Credential: com.ibm.ws.security.credentials.wscred.WSCredentialImpl@b29eac,
        realmName=LdapRegistry,
        securityName=MEMYSELFANDI,
        realmSecurityName=LdapRegistry/MEMYSELFANDI,
        uniqueSecurityName=uid=MEMYSELFANDI,ou=person,o=somedir,
        primaryGroupId=null,
        accessId=user:LdapRegistry/uid=MEMYSELFANDI,ou=person,o=somedir,
        groupIds=[SomeOtherGroups, App.Admin]
    Private Credential: CustomLoginModuleCredential
    Private Credential: com.ibm.ws.security.token.internal.SingleSignonTokenImpl@7c2ff51c

groupIDs 由我的自定义登录模块设置，因为ldap注册表中的组在具有成员的属性中没有条目，因此未由标准Liberty登录模块设置。因此，在我的自定义模块中，我在LDAP中搜索用户，并将条​​目组添加到私有凭据的groupIds数组中：

WSCredential credential = (WSCredential) _sharedState.get(com.ibm.wsspi.security.
                auth.callback.Constants.WSCREDENTIAL_KEY);
String[] grpList = ldapEntry.getAttribute("myEntGrps").getValues();
[..]
credential.getGroupIds().add(grpList[i]);

我还有什么需要做的，或者只是将组的字符串添加到数组中就足够了吗？

我还尝试使用securityGroupName（例如 cn = myGroup，ou = ... ）而不仅仅是组名（例如 myGroup ）。

什么是正确的格式？

有了这一切，当我调用受保护的servlet时，我收到错误消息：

CWWKS9104A：在/上调用myApp时，用户uid = MEMYSELFANDI，ou = person，o = somedir的授权失败。未授予用户访问任何所需角色的权限：[MyAdmin]。

当我更改 server.xml 中的配置以接受用户 memyselfandi 时，我获得了访问权限。因此，配置适用于用户，但不适用于组。我也尝试使用 access-id ，但这也行不通（我的LDAP领域名为LdapRegistry）。

在 trace.log 中，我看到以下内容（我认为Liberty会截断日志条目）：

 ppbnd.internal.authorization.AppBndAuthorizationTableService 3 Added the following subject to role mapping for application: myApp.
    App.Admin
    []
[..]
< updateMapsForAccessId Exit
    {user:LdapRegistry/uid=MEMYSELFANDI,ou=person,o=somedir=[],App.Admin=[]}

在server.xml中配置用户后，该角色将映射到用户user:LdapRegistry/uid=MEMYSELFANDI,ou=person,o=somedir=[MyAdmin]

有没有办法测试它为什么不起作用？也许是一些LDAP配置问题？我可以设置什么来获取所需的日志信息？目前我记录：

traceSpecification="*=info:com.ibm.ws.security.*=all:com.ibm.websphere.security.*=all:com.ibm.ws.webcontainer.security.*=all:com.ibm.ws.wim.*=all"/>

我想知道在尝试映射组时后台处理的内容。或者更好的是，我犯的错误使得无法映射或找到组。

Answer 1

经过一些测试后发现，当您将组添加到主题时，您必须使用“access-id”格式。

所以这就是我的登录模块现在所做的：

WSCredential credential = (WSCredential) _sharedState.get(com.ibm.wsspi.security.
            auth.callback.Constants.WSCREDENTIAL_KEY);
UserRegistry registry = RegistryHelper.getUserRegistry(credential.getRealmName());
String[] grpList = ldapEntry.getAttribute("myEntGrps").getValues();
[..]
  credential.getGroupIds().add("group:"+credential.getRealmName()+"/"+registry.getGroupSecurityName(grpList[i]));

最后，组条目如下所示：

group:MyLdapRealm/cn=myGroup,ou..