2

我有使用 MS Active Directory 的自由配置文件身份验证。但我无法设置角色映射到组。

我在 web.xml 中创建了一个安全角色:

<security-role>
    <description>Users who are authorized to do update and insert operations</description>
    <role-name>AuthorizedUser</role-name>
</security-role>

对于带有 wmm 的完整 WAS,我已将角色映射到 ibm-application-bnd.xml 中的一个组,该组有效:

<security-role name="AuthorizedUser" >
    <group name="mygroup" access-id="group:defaultWIMFileBasedRealm/CN=mygroup,OU=myorg,DC=mydomain,DC=AD,DC=myco,DC=com"/>
</security-role>

但这不适用于自由配置文件。
我需要更改访问 ID 吗?

4

3 回答 3

1

accessId 必须使用与您的用户注册表配置的域名完全相同的域名。例如,如果您的注册表是这样配置的:

<ldapRegistry realm="myLDAPRealm"/>

那么您的 accessId 值必须具有相同的值

<security-role name="AuthorizedUser" >
    <group name="mygroup" access-id="group:myLDAPRealm/..."/>
</security-role>

LDAP 注册表的默认领域名称是“LdapRegistry”,作为参考,基本注册表的默认领域名称是“BasicRegistry”。

正如 AJ_R 指出的那样,您可以完全删除 access-id 字段并让 access-id 自动生成。通常情况下,不需要手动指定 access-id 值。

于 2012-05-15T20:04:45.563 回答
1

问题是“memberOf”中的 b/c 'o' != 'O',我认为这在 TWAS 中不区分大小写。

自定义 MS 活动目录 groupMemberIdMap 修复了组搜索:

<activedFilters groupMemberIdMap="memberOf:member"/>

于 2012-06-13T11:53:03.907 回答
0

配置 MS Active 目录时是否使用了相同的 realmName (defaultWIMFileBasedRealm)?您还可以尝试删除访问 ID(仅使用组名)并让自由服务器使用为注册表定义的 relamName 生成它,看看是否有帮助。

于 2012-05-15T13:32:13.417 回答