我正在使用LDAP服务器仅用于身份验证并且不包含任何角色的遗留环境,并且针对包含用户角色映射的数据库执行授权,但没有密码。使用LDAP身份验证和JDBC授权实现Tomcat领域
我的计划是通过扩展JNDIRealm并重写角色方法来调用封装的JDBCRealm来实现新的Tomcat领域。
我的境界是在server.xml中宣称:
<Realm className="com.example.LdapJdbcRealm"
connectionURL="ldap://ldaphost:389"
resourceName="LDAP Auth"
userPattern="uid={0}, ou=Portal, dc=example, dc=com"
dbConnectionURL="jdbc:oracle:thin:@oracledb:1521:dbname"
userTable="db_user" userNameCol="user_id"
userRoleTable="db_user_role_xref" roleNameCol="role_id" />
这是JNDIRealm & JDBCRealm的标准属性名称的组合,用少许变化,因为它们都使用的ConnectionURL。
package com.example;
import org.apache.catalina.Realm;
import org.apache.catalina.Context;
import org.apache.catalina.deploy.SecurityConstraint;
import org.apache.catalina.connector.Request;
import org.apache.catalina.connector.Response;
import org.apache.catalina.realm.JNDIRealm;
import org.apache.catalina.realm.JDBCRealm;
import java.security.Principal;
import java.io.IOException;
public class LdapJdbcRealm extends JNDIRealm implements Realm
{
private JDBCRealm jdbcRealm = new JDBCRealm();
protected static final String info = "com.example.LdapJdbcRealm/1.0";
protected static final String name = "LdapJdbcRealm";
public String getDbConnectionURL() {
return jdbcRealm.getConnectionURL();
}
public void setDbConnectionURL(String dbConnectionURL) {
jdbcRealm.setConnectionURL(dbConnectionURL);
}
public String getUserTable() {
return jdbcRealm.getUserTable();
}
public void setUserTable(String userTable) {
jdbcRealm.setUserTable(userTable);
}
public String getUserNameCol() {
return jdbcRealm.getUserNameCol();
}
public void setUserNameCol(String userNameCol) {
jdbcRealm.setUserNameCol(userNameCol);
}
public String getUserRoleTable() {
return jdbcRealm.getUserRoleTable();
}
public void setUserRoleTable(String userRoleTable) {
jdbcRealm.setUserRoleTable(userRoleTable);
}
public String getRoleNameCol() {
return jdbcRealm.getRoleNameCol();
}
public void setRoleNameCol(String roleNameCol) {
jdbcRealm.setRoleNameCol(roleNameCol);
}
public boolean hasResourcePermission(Request request,
Response response,
SecurityConstraint[]constraints,
Context context) throws IOException
{
return jdbcRealm.hasResourcePermission(request, response, constraints, context);
}
public boolean hasRole(Principal principal, String role) {
return jdbcRealm.hasRole(principal, role);
}
}
这似乎工作,授权从LDAP返回一个委托人,它没有预期的角色。同一个委托人输入hasResourcePermission()
并失败,因为它没有要求的角色。很明显,我错过了一些关键的代码。
我正在寻找解决方案。我可以尝试扩展JDBCRealm并添加LDAP身份验证,但是这看起来像更多的工作。
我也相信这个LDAP认证/ DB授权并不罕见。是否有可用的替代解决方案?
这是而不是在我的控制范围内添加角色到数据库的LDAP或密码,所以这些都不是我的解决方案。
是的,我在Tomcat 6.0.18 – 2009-07-16 16:18:20