我有一个OpenAM
实例,仅配置了默认领域。我已经使用单个LDAP
模块设置了组织身份验证链,该模块允许我的用户进行自我注册。
我还建立了另一个名为adminChain
的链,并设置为具有单个Data Store
模块的管理员身份验证链,以便允许amAdmin
用户使用{ {1}}网址。
我的问题是,第二条链还允许/console
数据存储中的非管理员用户登录,这实际上是有道理的,因为它使用的是LDAP
模块。但是,如何防止普通用户使用管理链登录?我希望它们仅限于特定的链条。
答案 0 :(得分:1)
您应将根领域用于管理,将子领域用于操作。
实际上,当OpenAM配置为支持请求的操作时,它将使用领域中所有已配置的用户数据存储。
作为一种解决方法,您可以将用户数据存储配置中的Authentication Naming Attribute
的值设置为条目中不存在的属性。这将使普通用户的“数据存储”身份验证失败。 AmAdmin仍然可以进行身份验证,因为此身份存储在OpenAM配置中不会显示的特殊数据存储中。
请注意,您可能会遇到错误,因为在较早的版本中,身份验证期间会利用DN-Cache。