1

列表,

实际上,我已经对这个主题进行了广泛的搜索,或者 a) 我不知道如何配置某些东西和/或 b) 我不太明白 JNDI 领域实际上应该做什么。我正在使用 Tomcat 7.0.32 和 jdk 1.7.0_15。

这就是我想要做的。我与使用 PKI 用户证书的客户合作。用户证书有一个类似“Joe Smith”的 cn。我需要做的是在 LDAP 中查找这个 CN 并获取用户 ID,这可能类似于“jsmith23”,然后在请求标头中填充 Principal 用户。原因是我在 Tomcat 中部署了一个应用程序,该应用程序专门调用 getRemoteUser() 并且必须正确填充此 ID(例如“jsmith23”)。这个应用程序有点像另一个第三方工具的 Web 适配器,因此会再次检查 LDAP。但是,它必须是这个用户标识。

我尝试了很多事情,但似乎无法通过 LDAP 查找。在我的 server.xml 中,它如下所示:

     <Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"
                   maxThreads="150" scheme="https" secure="true"
                   clientAuth="true" sslProtocol="TLS"
                   keystoreFile="c:/tomcat7/pki/keystore.jks" keystorePass="changeit"
                   truststoreFile="c:/tomcat7/pki/cacerts.jks" truststorePass="changeit" />

<Realm className="org.apache.catalina.realm.JNDIRealm" debug="99" 
                connectionURL="ldap://servername:3268"
                allRolesMode="authOnly" 
                connectionName="cn=DC Services,OU=Generic,OU=Users,OU=Managed Objects,DC=domain,DC=com" 
                connectionPassword="mypassword" 
                userBase="DC=domain,DC=com" 
                userSubtree="true" 
                userSearch="cn={0}" 
                userRoleName="memberOf" />

我的应用程序的 web.xml 文件如下所示:

<security-constraint>
    <web-resource-collection>
        <web-resource-name>ArcGIS Web Adapter</web-resource-name>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
        <role-name>*</role-name>
    </auth-constraint>
    <user-data-constraint>
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
</security-constraint>

<login-config>
    <auth-method>CLIENT-CERT</auth-method>
    <realm-name>ArcGIS Web Adapter</realm-name>
</login-config>
<security-role>
    <role-name>*</role-name>
</security-role>
<welcome-file-list>
    <welcome-file>index.jsp</welcome-file>
</welcome-file-list>

我遇到的问题是,无论我尝试什么,我都会不断收到此错误:

消息无法使用提供的凭据进行身份验证描述此请求需要 HTTP 身份验证。

它提示我要我的证书,所以我知道它通过了。本地主机日志文件显示:

FINE:Realm.authenticate() 返回 false

但是,我知道我连接正确,因为如果我更改密码,我根本无法访问该站点。

我想我的一个问题是 JNDI 领域设置的结果是什么。如果它在 LDAP 中查找用户名的 CN,然后呢?这是否假设提供继续我的 Web 应用程序所需的身份验证?如果我将所有内容更改为 BASIC 并使用用户名/密码进行身份验证,它就可以完美运行。但是使用 CLIENT-CERT 和 LDAP 查找,我似乎无法实现我需要的。

我需要一个进程来根据他们的证书 CN 查找用户的 id,然后在 http 请求中填充 Principal 用户,以便以后调用 getTemoteUser() 可以正常工作。

任何帮助,将不胜感激。

4

2 回答 2

1

问题是org.apache.catalina.realm.JNDIRealm需要用户名和密码。使用 进行身份验证时CLIENT-CERTorg.apache.catalina.realm.RealmBase可以使用DN来自证书的用户名,但无法获得 所需的密码JNDIRealm

于 2014-05-16T13:57:03.100 回答
0

嗨,我有一个在 Tomcat 6.0.18 中工作的设置,但是它在 Tomcat 6.0.37 上与您有类似的问题。在这里查看我的帖子Tomcat 6.0.37 无法从 LDAP 检索用户名来比较您的配置。希望有所帮助。请让我知道这是否适用于您的 Tomcat 版本...

于 2013-11-13T16:32:15.140 回答