如何使用带有 LDAP 身份验证的 Apache Shiro 添加角色授权

【问题标题】:How to add role authorization using Apache Shiro with LDAP Authentication如何使用带有 LDAP 身份验证的 Apache Shiro 添加角色授权
【发布时间】:2018-02-22 05:04:30
【问题描述】:

我是 Apache Shiro 和 LDAP 的新手。 我正在尝试使用 Apache shiro 创建一个简单的 LDAP 身份验证。身份验证有效,但我无法向用户添加角色。下面是我正在使用的 shiro.ini 文件:

[main]
realm = org.apache.shiro.realm.ldap.JndiLdapRealm
realm.contextFactory.url = ldap://localhost:389
contextFactory = org.apache.shiro.realm.ldap.JndiLdapContextFactory
contextFactory.systemUsername = cn=Manager,dc=maxcrc,dc=com
contextFactory.systemPassword = secret
[roles]
People = *
role = *
Administrator = *

下面是java类文件:

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;

import java.util.ArrayList;
import java.util.List;

import javax.naming.NamingException;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.ldap.JndiLdapRealm;
import org.apache.shiro.realm.ldap.LdapContextFactory;
import org.apache.shiro.subject.PrincipalCollection;

public class LDAPTest extends JndiLdapRealm 
{

public static final String userName = "uid=aarippa,ou=People,dc=maxcrc,dc=com";
//public static final String userName = "uid=arjunarippa";
public static final String password = "SomePassword";

public static void main(String[] args)
{
    Factory<SecurityManager> factory = new IniSecurityManagerFactory("N:\\workspace\\LdapAuthentication\\src\\auth.ini");
    SecurityManager securityManager = factory.getInstance();
    SecurityUtils.setSecurityManager( securityManager );
    System.out.println( "userName is  : " +userName);
    System.out.println( "password is  : " +password);
    //UsernamePasswordToken token = new UsernamePasswordToken( "cn=Panji Pratomo,ou=people,dc=maxcrc,dc=com", "SomePassword" );
    UsernamePasswordToken token = new UsernamePasswordToken( userName,password );
    Subject currentUser = SecurityUtils.getSubject();
    //System.out.println(currentUser);

    try
    {
        currentUser.login( token );
        System.out.println( "We've authenticated! :)" );
    }
    catch ( AuthenticationException e )
    {
        System.out.println( "We did not authenticate :(" );
        e.printStackTrace();
    }


    if ( currentUser.hasRole( "people" ) )
    {
        System.out.println( "We have the role! :)" );
    }
    else
    {
        System.out.println( "We do not have the role :(" );
    }
    if ( currentUser.isPermitted( "foo.blah" ) )
    {
        System.out.println( "We're authorized! :)" );
    }
    else
    {
        System.out.println( "We are not authorized :(" );
    }
}
}

我无法理解如何为用户添加角色。身份验证工作正常,但收到错误消息“我们没有角色:(”和“我们没有被授权:(” 目前我正在使用 OpenLDAP 服务器,下面是我在服务器中创建的一个 .LDIF 条目:

dn: uid=aarippa,ou=people,dc=maxcrc,dc=com
objectclass: inetOrgPerson
cn: Arjun Arippa
cn: A Arippa
cn: Aarippa
sn: fahmi
uid: aarippa
userpassword: SomePassword
carlicense: HISCAR 123
homephone: 555-111-2222
mail: f.satrio222@gmail.com
mail: f.satrio222@mysamz.com
mail: guest108222@fif.co.id
description: tukang ngulik ga jelas
ou: SOA

如果我通过添加正确的角色做了正确的事情,任何人都可以告诉我,如果有错,请纠正我。我在编写的方法中遗漏了什么吗?

谢谢, 阿琼

【问题讨论】:

    标签: java apache authentication ldap shiro


    【解决方案1】:

    开箱即用的通用 LDAPRealm 不处理角色。 Active Directory 领域可以(如果您在 AD 上)。否则,您可以扩展领域并实现doGetAuthorizationInfo 方法。 尽管有一些常见的策略,但几乎可以通过多种方式配置 LDAP 服务器。您的用户如何与您的群组相关联?您有示例查询或示例组记录吗?

    【讨论】:

    • 最初我是否可以使用 LDAP 领域。但是在看到您的评论后,我尝试使用 AD Realm(因为我仍然不确定要求是使用 LDAPRealm 还是 ADRealm)。所以我正在尝试使用 ADRealm 进行身份验证和角色授权。但是,我收到一个错误:Exception in thread "main" org.apache.shiro.authz.AuthorizationException: LDAP naming error while attempting to retrieve authorization for user [uid=aarippa,ou=people,dc=maxcrc,dc=com]. at org.apache.shiro.realm.ldap.AbstractLdapRealm.doGetAuthorizationInfo(AbstractLdapRealm.java:210)
    • 以下是我在 OpenLDAP 服务器中的条目:dn: uid=aarippa,ou=people,dc=maxcrc,dc=com objectclass: inetOrgPerson cn: Arjun Arippa cn: A Arippa cn: Aarippa sn: fahmi uid: aarippa userpassword: SomePassword carlicense: HISCAR 123 homephone: 555-111-2222 mail: f.satrio222@gmail.com mail: f.satrio222@mysamz.com mail: guest108222@fif.co.id description: tukang ngulik ga jelas ou: SOA
    • 下面是我在 shiro.ini 文件中创建的条目:activeDirectoryRealm = org.apache.shiro.realm.activedirectory.ActiveDirectoryRealm activeDirectoryRealm.searchBase = "ou=People,dc=maxcrc,dc=com" activeDirectoryRealm.systemUsername = manager activeDirectoryRealm.systemPassword = secret activeDirectoryRealm.url = ldap://localhost:389 activeDirectoryRealm.groupRolesMap = "ou=People,dc=maxcrc,dc=com":"sysadmin" securityManager.realm = $activeDirectoryRealm activeDirectoryRealm.authorizationCachingEnabled = false
    猜你喜欢
    • 2016-03-13
    • 2013-11-10
    • 2015-12-24
    • 2014-07-17
    • 2019-10-04
    • 2014-11-25
    • 2011-11-19
    • 1970-01-01
    • 2017-10-18
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode