Liberty Profile 上的 MobileFirst Server - LDAP 认证答案

【问题标题】：MobileFirst Server on Liberty Profile - LDAP authenticationLiberty Profile 上的 MobileFirst Server - LDAP 认证
【发布时间】：2015-04-30 19:59:20
【问题描述】：

我希望能够使用 LDAP 存储库中的帐户登录到在 Liberty Profile 上运行的 MobileFirst v6.3 服务器上的 mobilefirst 控制台。

我已使用以下 LDAP 注册表和 LTPA 配置编辑了我的 server.xml：

    <ldapRegistry id="AD_Example" realm="WASLTPARealm"
              host="example.com" port="389" ignoreCase="true"
              baseDN="dc=example,dc=com,dc=ar"
              bindDN="cn=binduser,cn=Users,dc=example,dc=com,dc=ar"
              bindPassword="ThisIsAnExample"
              ldapType="Microsoft Active Directory">

      <activedFilters userFilter="sAMAccountName=%v"
                       userIdMap="user:sAMAccountName">
      </activedFilters>

      <group name="worklightadmingroup">
          <member name="user1"/>
      </group>
      <group name="worklightdeployergroup">
          <member name="user1"/>
      </group>
      <group name="worklightmonitorgroup"/>
      <group name="worklightoperator"/>

</ldapRegistry>

<ltpa keysFileName="ltpa.keys" keysPassword="WebAS" expiration="120"/>

我从以下地方获取了一些信息：

但我似乎无法运行它。还有一个 DataPower 集成场景，但我需要先测试 LDAP 连接，我认为这可能是最好的方法。有什么建议吗？

编辑：Here 您可以查看完整的日志（控制台、消息和 ffdc）。有一个“LDAPConnection”异常，但我无法理解它提供给我的信息。

【问题讨论】：

所以问题是，什么失败了？您没有提供任何错误消息或您的messages.log
用户/密码不正确。对不起，我以为这是暗示。让我搜索日志条目。
请完整messages.log。
drive.google.com/…
公开文件（目前需要许可）。

标签： ldap ibm-mobilefirst websphere-liberty

【解决方案1】：

我已使用 LDAP 注册表（在我的例子中是 OpenLDAP，而不是 Microsoft Active Directory）中的用户成功登录到 worklightconsole。我觉得奇怪的是您将 groups 指定为<ldapRegistry> children，您的组不应该在您的 LDAP 注册表中定义（而不是在 server.xml 中）吗？

然后你可以使用组 activedFilters

<activedFilters
    userFilter="(&(sAMAccountName=%v)(objectcategory=user))"
    groupFilter="(&amp;(cn=%v)(objectcategory=group))" 
    userIdMap="user:sAMAccountName" 
    groupIdMap="*:cn" 
    groupMemberIdMap="memberOf:member" >
</activedFilters>

在示例there 中给出（Microsoft Active Directory Server 上有一部分，当然您必须适应您的情况）。

同样根据这个doc（在功能配置元素点击ldapRegistry；你将拥有所有可以使用的属性和子节点），<ldapRegistry>似乎没有@987654327 @孩子。

【讨论】：

嗨 Rick，刚刚从 ldapRegistry 元素中取出了那些元素。结果还是一样。
是的，当然：drive.google.com/a/ayi-asociados.com/…
1- 我想apmovil1的密码是“TXZvQhCxzM4s”？
2- 我想在 cuyanas.com.ar:389 的 LDAP 中，您已经定义了以下组：worklightadmingroup、worklightdeployergroup、worklightmonitorgroup、worklightoperator、appcentergroup 3-我认为您可以删除 4在<ltpa keysFileName="ltpa.keys" keysPassword="WebAS" expiration="120"/> 之后定义的组
嗨瑞克。 1) 不，那是错误的。我已经纠正了它，但它仍然失败。由于安全原因，我不能给你正确的。 2) 我们的 LDAP 服务器中没有这些组。根据您的说法，我们应该创建它们吗？ 3) 好的，我会的。

【解决方案2】：

发出以下 LDAP 异常：javax.naming.AuthenticationException：[LDAP：错误代码 49 - 80090308：LdapErr：DSID-0C0903A9，注释：AcceptSecurityContext 错误，数据 775，v1db1

数据 775 表示您的用户帐户 (apmovil1) 已锁定。您必须要求 LDAP 管理员解锁您的用户，然后在 server.xml 文件中使用正确的密码，因为它很可能是由于使用错误密码的太多连接尝试而被锁定。

【讨论】：

您好 Bruno，实际上用户并没有被阻止，只是在 Active Directory 中检查了它。此外，DataPower 能够在我们在设备中提供的调试服务上对该用户进行身份验证。