Java Spring Security for Active Directory Searchs by';userPrincipalName';——有没有办法改变这一点?
我仍在学习LDAP/Active Directory,如果我的术语有误,请更正:) 在我们的JavaWeb应用程序中,我尝试使用SpringSecurityLDAP来保护它。我设法让Spring Security与内存中的身份验证一起工作,但我们需要将其与AD服务器绑定 我将用com.test来掩盖我们的实际域 以下是我尝试从应用程序登录时收到的错误 13:39:55701错误ActiveDirectoryLdapAuthenticationProvider:133- 找不到经过身份验证的用户的目录项:johnsmit javax.naming.NameNotFoundException:[LDAP:错误代码32-0000208D: NameErr:DSID-0310020A,问题2001(无对象),数据0,最佳匹配 of:'CN=Users,DC=ad,DC=test,DC=com' 我在Spring中使用基于类的配置 这是我的SecurityConfiguration类Java Spring Security for Active Directory Searchs by';userPrincipalName';——有没有办法改变这一点?,java,spring,spring-mvc,spring-security,active-directory,Java,Spring,Spring Mvc,Spring Security,Active Directory,我仍在学习LDAP/Active Directory,如果我的术语有误,请更正:) 在我们的JavaWeb应用程序中,我尝试使用SpringSecurityLDAP来保护它。我设法让Spring Security与内存中的身份验证一起工作,但我们需要将其与AD服务器绑定 我将用com.test来掩盖我们的实际域 以下是我尝试从应用程序登录时收到的错误 13:39:55701错误ActiveDirectoryLdapAuthenticationProvider:133- 找不到经过身份验证的用户的
@Configuration
@EnableWebMvcSecurity
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
@Bean
public ActiveDirectoryLdapAuthenticationProvider activeDirectoryLdapAuthenticationProvider() {
provider = new ActiveDirectoryLdapAuthenticationProvider("ad.test.com", "ldap://servername.ad.test.com:389/cn=Users,dc=ad,dc=test,dc=com");
provider.setUseAuthenticationRequestCredentials(true);
return provider;
}
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.authenticationProvider(activeDirectoryLdapAuthenticationProvider());
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http.
authorizeRequests()
.anyRequest().authenticated()
.and()
.formLogin().failureUrl("/login?error")
.loginPage("/login")
.permitAll()
.and()
.logout().logoutRequestMatcher(new AntPathRequestMatcher("/logout")).logoutSuccessUrl("/login")
.permitAll()
.and()
.httpBasic();
}
}
String searchFilter=“(&(objectClass=user)(sAMAccountName={0}));看起来它根本没有被合并。不过,这张票证中的补丁将是我需要的答案。三年后,我也在努力解决这个问题。因为有人建议将userPrincipalName更改为Office365的邮件地址(请参阅),我想其他人也可能有这个问题,所以这是我的修复方法 有一个关于github的讨论正在讨论这个问题: 用户gkibilov的回答解决了我的问题。其想法是更改ActiveDirectoryLdapAuthenticationProvider类中的“searchForUser”方法,以便不仅仅传递bindprincipal(=USERNAME@DOMAIN)还有用户名 之后,可以使用以下searchFilter查找sAMAccountName而不是userPrincipalName:
"(&(objectClass=user)(sAMAccountName={1}))"
private DirContextOperations searchForUser(DirContext context, String username)
throws NamingException {
SearchControls searchControls = new SearchControls();
searchControls.setSearchScope(SearchControls.SUBTREE_SCOPE);
String bindPrincipal = createBindPrincipal(username);
String searchRoot = rootDn != null ? rootDn
: searchRootFromPrincipal(bindPrincipal);
try {
return SpringSecurityLdapTemplate.searchForSingleEntryInternal(context,
searchControls, searchRoot, searchFilter,
new Object[] { bindPrincipal, username});
}
...
}
@Bean
public MyActiveDirectoryLdapAuthenticationProvider activeDirectoryLdapAuthenticationProvider() {
provider = new MyActiveDirectoryLdapAuthenticationProvider("ad.test.com", "ldap://servername.ad.test.com:389/cn=Users,dc=ad,dc=test,dc=com");
provider.setSearchFilter("(&(objectClass=user)(sAMAccountName={1}))");
provider.setUseAuthenticationRequestCredentials(true);
return provider;
}
我必须承认,复制一个类并不是最好的解决方案,但因为原始类是“最终的”我找不到更好的方法来解决这个问题。因为我发现这对解决我自己的问题非常有帮助,我想补充一点,建议的更改似乎已经被折叠到Spring Security 5.0.8.RELEASE/Spring Boot 2.0.5中
ActiveDirectoryLdapAuthenticationProvider.setSearchFilter(字符串){0}username@domain{1}(&(objectClass=user)(userPrincipalName={0}))