角色不适用于(LDAP)Active directory
我已使用文档中的高级配置和最佳实践,成功安装了带有MS AD(windows 2012 R2)的OpenKMComunity edition(版本6.3.6、Tomcat-8.5.24、PostgeSQL 9.4.15和Debian 8.2.0): 但是在这些文档中,我遇到了两个问题:用户ID是一个三元组(sAMAccountName),角色中的用户ID是一个名字和姓氏(CN)。 使用True上的Principal.ldap.users.from.roles选项,我可以看到openKm创建了ID为First Name和Last Name(CN)的用户 对于一个用户,我有两个帐户:角色不适用于(LDAP)Active directory,ldap,debian,ecm,openkm,Ldap,Debian,Ecm,Openkm,我已使用文档中的高级配置和最佳实践,成功安装了带有MS AD(windows 2012 R2)的OpenKMComunity edition(版本6.3.6、Tomcat-8.5.24、PostgeSQL 9.4.15和Debian 8.2.0): 但是在这些文档中,我遇到了两个问题:用户ID是一个三元组(sAMAccountName),角色中的用户ID是一个名字和姓氏(CN)。 使用True上的Principal.ldap.users.from.roles选项,我可以看到openKm创建了
ID = MLE Name= Mi** Lenormand Mail= ** Roles = ROLE_USER ROLE_TEST
ID = Mi** Lenormand Name=Mi** Lenormand Mail = (empty) Roles = (empty)
第二个帐户的角色为空,但在我筛选时存在于角色(例如:role\u USER)中
我认为问题来自:
principal.ldap.users.by.role.attribute member
principal.ldap.users.by.role.search.base OU=IT,OU=CDG,OU=SDA,DC=*,DC=**
principal.ldap.users.by.role.search.filter (&(objectClass=group)(cn={0}))
我们无法按sAMAccountName筛选,因为在成员中没有sAMAccountName:
第二个问题是,当我使用MLE登录时,角色不起作用。(在日志中,我无法使用ID=Mi**Lenormand进行日志记录)
经过多次操作,我解决了第一个问题,我用CN和密码登录。但第二个问题总是存在的
在“管理”选项卡中
[code]system.login.lowercase=true
principal.adapter=com.openkm.principal.LdapPrincipalAdapter
principal.ldap.server=ldap://sd01cdg***:389
principal.ldap.security.principal=CN=OpenKm,OU=Compte de Service,OU=SDA,DC=***,DC=***
principal.ldap.security.credentials=*******************
principal.ldap.user.search.base=OU=CDG,OU=SDA,DC=**,DC=**
principal.ldap.user.search.filter=objectclass=person
principal.ldap.user.attribute=CN
principal.ldap.role.search.base=OU=CDG,OU=SDA,DC=**,DC=**
principal.ldap.role.search.filter=(&(objectclass=group)(memberOf=cn=OpenKM_ROLE,ou=cdg,ou=sda,dc=sid,dc=afi))
principal.ldap.role.attribute=cn
principal.ldap.mail.search.base=OU=CDG,OU=SDA,DC=**,DC=**
principal.ldap.mail.search.filter=(&(objectClass=person)(cn={0}))
principal.ldap.mail.attribute=mail
principal.ldap.username.search.base=OU=CDG,OU=SDA,DC=**,DC=**
principal.ldap.username.search.filter=(&(objectClass=person)(cn={0}))
principal.ldap.username.attribute=cn
principal.ldap.users.by.role.search.base=OU=CDG,OU=SDA,DC=**,DC=**
principal.ldap.users.by.role.search.filter=(&(objectClass=group)(cn={0}))
principal.ldap.users.by.role.attribute=member
principal.ldap.users.from.roles=true
principal.ldap.roles.by.user.search.base=OU=CDG,OU=SDA,DC=**,DC=**
principal.ldap.roles.by.user.search.filter=(&(objectClass=person)(cn={0}))
principal.ldap.roles.by.user.attribute=memberOf
principal.ldap.referral=follow[/code]
在[Tomcat-8.5.24]/OpenKM.xml中
[code]
<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns:beans="http://www.springframework.org/schema/beans"
xmlns:security="http://www.springframework.org/schema/security"
xmlns:task="http://www.springframework.org/schema/task"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:amq="http://activemq.apache.org/schema/core"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security.xsd
http://www.springframework.org/schema/task
http://www.springframework.org/schema/task/spring-task.xsd">
<security:authentication-manager alias="authenticationManager">
<security:authentication-provider ref="ldapAuthProvider" />
</security:authentication-manager>
<beans:bean id="contextSource" class="org.springframework.security.ldap.DefaultSpringSecurityContextSource">
<beans:constructor-arg value="ldap://sd01cdgdc:389"/>
<beans:property name="userDn" value="CN=OpenKm,OU=Compte de Service,OU=SDA,DC=***,DC=***"/>
<beans:property name="password" value="******************"/>
<beans:property name="baseEnvironmentProperties">
<beans:map>
<beans:entry>
<beans:key>
<beans:value>java.naming.referral</beans:value>
</beans:key>
<beans:value>follow</beans:value>
</beans:entry>
</beans:map>
</beans:property>
</beans:bean>
<beans:bean id="ldapAuthProvider" class="org.springframework.security.ldap.authentication.LdapAuthenticationProvider">
<beans:constructor-arg>
<beans:bean class="org.springframework.security.ldap.authentication.BindAuthenticator">
<beans:constructor-arg ref="contextSource"/>
<beans:property name="userSearch" ref="userSearch"/>
</beans:bean>
</beans:constructor-arg>
<beans:constructor-arg>
<beans:bean class="org.springframework.security.ldap.userdetails.DefaultLdapAuthoritiesPopulator">
<beans:constructor-arg ref="contextSource"/>
<beans:constructor-arg value="OU=IT,OU=CDG,OU=SDA,DC=*****,DC=***"/>
<beans:property name="groupSearchFilter" value="member={0}"/>
<beans:property name="groupRoleAttribute" value="cn"/>
<beans:property name="searchSubtree" value="true" />
<beans:property name="convertToUpperCase" value="false" />
<!-- <beans:property name="rolePrefix" value="ROLE_" /> -->
<beans:property name="rolePrefix" value="" />
<beans:property name="defaultRole" value="ROLE_ADMIN" />
<!-- <beans:property name="defaultRole" value="ROLE_USER" /> -->
</beans:bean>
</beans:constructor-arg>
</beans:bean>
<beans:bean id="userSearch" class="org.springframework.security.ldap.search.FilterBasedLdapUserSearch">
<beans:constructor-arg index="0" value="OU=CDG,OU=SDA,DC=*****,DC=**" />
<beans:constructor-arg index="2" ref="contextSource" />
<!-- <beans:constructor-arg index="1" value="sAMAccountName={0}" /> -->
<beans:constructor-arg index="1" value="CN={0}" />
<beans:property name="searchSubtree" value="true" />
</beans:bean>
</beans:beans>
[/code]
[代码]
java.naming.reference
跟随
[/code]
如果我不使用
,我将无法登录角色\u ADMIN
以下是让我觉得自己走在正确轨道上的结果:
你对这个问题有什么想法吗?这个部分应该是: 错误在于bean constructor的值,在这里您应该使用baseDC=company,DC=com而不是所有区分的名称,直到组织单元
<beans:bean class="org.springframework.security.ldap.userdetails.DefaultLdapAuthoritiesPopulator">
<beans:constructor-arg ref="contextSource"/>
<beans:constructor-arg value="DC=company,DC=com"/>
<beans:property name="groupSearchFilter" value="member={0}"/>
<beans:property name="groupRoleAttribute" value="cn"/>
<beans:property name="searchSubtree" value="true" />
<beans:property name="convertToUpperCase" value="false" />
<beans:property name="rolePrefix" value="" />
</beans:bean>