11

我已通过 LDAP 成功连接到 Active Directory 以进行身份​​验证,并在我的 ldap.xml 中使用以下内容调用了我的自定义权限填充器:

    <bean id="ldapAuthenticationProvider"
        class="org.springframework.security.ldap.authentication.LdapAuthenticationProvider">
    <constructor-arg ref="ldapBindAuthenticator"/>
    <constructor-arg ref="ldapAuthoritiesPopulator"/>
</bean>

<bean id="ldapBindAuthenticator"
        class="org.springframework.security.ldap.authentication.BindAuthenticator">
    <constructor-arg ref="ldapServer"/>
    <property name="userSearch" ref="ldapSearch"/>
</bean>

<bean id="ldapSearch"
        class="org.springframework.security.ldap.search.FilterBasedLdapUserSearch">
    <constructor-arg value="CN=Users"/>
    <constructor-arg value="(sAMAccountName={0})"/>
    <constructor-arg ref="ldapServer"/>
</bean>

<bean id="ldapAuthoritiesPopulator"
        class="my.project.package.ActiveDirectoryLdapAuthoritiesPopulator"/>

<bean id="ldapServer"
        class="org.springframework.security.ldap.DefaultSpringSecurityContextSource">
    <constructor-arg value="ldap://192.168.0.2/dc=test,dc=server"/>

    <property name="userDn" value="ldap@test.server"/>
    <property name="password" value="ldap"/>
    <property name="baseEnvironmentProperties">
        <map>
            <entry key="java.naming.referral">
                <value>follow</value>
            </entry>
        </map>
    </property>
</bean>

这很好用,我可以根据用户的组成员身份确定用户的授权,但我宁愿通过内置的 Active Directory LDAP 身份验证提供程序来执行此操作:

<bean id="ldapAuthenticationProvider"
        class="org.springframework.security.ldap.authentication.ad.ActiveDirectoryLdapAuthenticationProvider">

        <constructor-arg value="test.server"/>
        <constructor-arg value="ldap://192.168.0.2:389"/>
        <property name="convertSubErrorCodesToExceptions" value="true"/>
</bean>

上面的问题是我的自定义权限填充器(显然)没有被调用,所以虽然我可以验证我的用户(适用于上述),但我没有组(我需要确定授权)。

我觉得这是一个简单的问题,但对于我的生活,我无法在这里或其他任何地方找到答案。我是否必须扩展 ActiveDirectoryLdapAuthenticationProvider 类,并从那里调用我的权限填充器?

(感谢这个网站多年来给我的所有帮助;这个网站的有效性可以通过我最近才费心创建一个帐户这一事实来衡量,这是我的第一个问题。提前感谢你的帮助。)

4

1 回答 1

10

Spring 的 ActiveDirectoryLdapAuthenticationProvider 类是final,所以我唯一真正的选择(如果有任何接受者,我会招待更好的)是分叉类。我复制并粘贴了它的内容,稍微重构,并删除了final名称。然后,我创建了派生类的一个单独的子类,覆盖了该loadUserAuthorities()方法,并添加了我自己的代码来构建权限掩码。

ldap.xml然后我可以按如下方式编辑我的文件:

    <bean id="ldapAuthenticationProvider"
            class="my.project.package.OverrideActiveDirectoryLdapAuthenticationProvider">   
        <constructor-arg value="test.server"/>
        <constructor-arg value="ldap://192.168.0.2:389"/>
        <property name="convertSubErrorCodesToExceptions" value="true"/>
</bean>

对于像我这样的任何其他 n00bs,子类如下所示:

public class OverrideActiveDirectoryLdapAuthenticationProvider extends TestActiveDirectoryLdapAuthenticationProvider {

//my assignments

public OverrideActiveDirectoryLdapAuthenticationProvider(String domain,
        String url) {
    super(domain, url);
}

@Override
protected Collection<? extends GrantedAuthority> loadUserAuthorities(DirContextOperations userData, String username, String password) {
//original code with my own additions
//in my case, I injected code into the for(group : groups) loop
}

像魅力一样工作。

非常感谢 zagyi 的帮助。

于 2013-04-20T18:15:59.673 回答