如何在Spring Security配置中设置要遵循的LDAP Context.REFERRAL?这与我已经报告的问题有关,在发现我要寻找的真正解决方案之前,我发现了一个不令人满意的解决方案,其中涉及在LDAP上下文中设置此环境属性以遵循ActiveDirectoryLdapAuthenticationProvider的引用。

这是对我原始问题的引用:Spring Security 4.0.0 + ActiveDirectoryLdapAuthenticationProvider + BadCredentialsException PartialResultException

附录:这里似乎没有人有这样的环境。尽管在此问题上保持沉默,但我在这里发布了我的配置,希望有人能够对此提供帮助。我只是不知道该怎么办才能解决这个问题。

这是我的日志中的错误消息:

2015-06-15 10:32:19,810 DEBUG (o.s.s.w.FilterChainProxy$VirtualFilterChain.doFilter) [http-8443-1] /identite.proc at position 7 of 13 in additional filter chain; firing Filter: 'UsernamePasswordAuthenticationFilter'
2015-06-15 10:32:19,810 DEBUG (o.s.s.w.u.m.AntPathRequestMatcher.matches) [http-8443-1] Checking match of request : '/identite.proc'; against '/identite.proc'
2015-06-15 10:32:19,810 DEBUG (o.s.s.w.a.AbstractAuthenticationProcessingFilter.doFilter) [http-8443-1] Request is to process authentication
2015-06-15 10:32:19,811 DEBUG (o.s.s.a.ProviderManager.authenticate) [http-8443-1] Authentication attempt using org.springframework.security.ldap.authentication.ad.ActiveDirectoryLdapAuthenticationProvider
2015-06-15 10:32:19,811 DEBUG (o.s.s.l.a.AbstractLdapAuthenticationProvider.authenticate) [http-8443-1] Processing authentication request for user: myusername
2015-06-15 10:32:19,841 DEBUG (o.s.s.l.SpringSecurityLdapTemplate.searchForSingleEntryInternal) [http-8443-1] Searching for entry under DN '', base = 'dc=dept,dc=company,dc=com', filter = '(&(userPrincipalName={0})(objectClass=user)(objectCategory=inetOrgPerson))'
2015-06-15 10:32:19,842 DEBUG (o.s.s.w.a.AbstractAuthenticationProcessingFilter.unsuccessfulAuthentication) [http-8443-1] Authentication request failed: org.springframework.security.authentication.BadCredentialsException: Bad credentials
2015-06-15 10:32:19,842 DEBUG (o.s.s.w.a.AbstractAuthenticationProcessingFilter.unsuccessfulAuthentication) [http-8443-1] Updated SecurityContextHolder to contain null Authentication
2015-06-15 10:32:19,842 DEBUG (o.s.s.w.a.AbstractAuthenticationProcessingFilter.unsuccessfulAuthentication) [http-8443-1] Delegating to authentication failure handler org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler@a5d7f2


这是配置:

<b:bean id="monFournisseurAD" class="org.springframework.security.ldap.authentication.ad.ActiveDirectoryLdapAuthenticationProvider">
    <b:constructor-arg value="dept.company.com" />
    <b:constructor-arg value="ldap://dept.company.com:3268/" />
    <b:constructor-arg value="dc=dept,dc=company,dc=com" />
    <b:property name="searchFilter" value="(&amp;(userPrincipalName={0})(objectClass=user)(objectCategory=inetOrgPerson))" />
    <b:property name="userDetailsContextMapper">
        <b:bean class="org.springframework.security.ldap.userdetails.InetOrgPersonContextMapper" />
    </b:property>
    <b:property name="authoritiesMapper" ref="grantedAuthoritiesMapper" />
    <b:property name="convertSubErrorCodesToExceptions" value="true" />
</b:bean>

<b:bean id="contextSource" class="org.springframework.security.ldap.DefaultSpringSecurityContextSource">
    <b:constructor-arg value="ldap://dept.company.com:3268/dc=dept,dc=company,dc=com" />
    <b:property name="baseEnvironmentProperties">
        <b:map>
            <b:entry key="java.naming.referral" value="follow" />
        </b:map>
    </b:property>
</b:bean>

<b:bean id="ldapTemplate" class="org.springframework.ldap.core.LdapTemplate">
    <b:constructor-arg ref="contextSource" />
</b:bean>

<b:bean id="securityContextPersistenceFilter" class="org.springframework.security.web.context.SecurityContextPersistenceFilter" />
<b:bean id="myDeconnexionHandler" class="com.company.dept.web.my.DeconnexionHandler" />


具有ids contextSource和ldapTemplate的两个bean似乎什么都没有改变。我试图获得推荐跟随行为。这似乎不是配置它的正确方法。另外,此处ldap URL中的端口设置为3268,因为它是常规目录,并且在其他说明中的某人建议使用该端口。但是,结果与端口389完全相同。

如果我更改bean monFournisseurAD中的第一个构造函数参数以将其设置为单个userPrincipalName域,它将对进入该域的所有用户起作用。虽然我实际上可以使用ldapsearch命令从命令行使用dept.company.com验证任何人,而不是直接与用户关联的userPrincipalName域。实际上,如果我输入了错误的密码,则会收到特定的错误密码消息。这似乎证明该用户实际上已通过AD / LDAP认证,但是Spring稍后无法获取该用户的属性。

我怎么解决这个问题?

最佳答案

最后,解决此问题的唯一方法是修改代码,因为方法org.springframework.security.ldap.authentication.ad.ActiveDirectoryLdapAuthenticationProvider.searchForUser()已连接为将bindPrincipal传递给SpringSecurityLdapTemplate.searchForSingleEntryInternal(),从而实际恢复了使用XML中定义的或使用setSearchFilter()设置的搜索过滤器为用户记录。由于bindPrincipal实际上是username @ domain,因此此值不适合搜索过滤器中的sAMAccountName用法,它将始终失败。由于使用userPrincipalName绑定到Active Directory服务器,然后使用bindPrincipal绑定,因此您无法指定到searchForUser(),因此必须仅在搜索中使用用户名,而不使用bindPrincipal(UPN)。我通过复制包中的整个类org.springframework.security.ldap.authentication.ad.ActiveDirectoryLdapAuthenticationProvider来解决问题,并修改了searchForUser()方法以将用户名而不是bindPrincipal传递给方法searchForSingleEntryInternal()。这可行,但是仍然是有线/硬编码解决方案。一个更优雅的解决方案是引入模式列表和一种方法来组合对searchForSingleEntryInternal()的调用的值,或者一种方法来检测searchFilter()字符串所需的参数类型。

08-29 00:19