问题标签 [elytron]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
3 回答
1375 浏览

security - Wildfly 11 通过新的 Elytron 子系统与 KeyCloak 进行管理集成

我想通过新的 Elytron 子系统将 WildFly 11 管理界面(管理控制台、Web 控制台)的安全性与 KeyCloak 集成。

我一直在寻找Wildfly 11 的最新文档,并且有一章Using KeyCloak with WildFly Elytron但不幸的是空的。

如果有人能给我一些建议如何做到这一点,我将不胜感激。

0 投票
1 回答
677 浏览

cors - Wildfly 11 + Elytron 上 Keycloak 3.4.1 的空响应

我使用新的 Elytron 适配器将我的应用程序升级到 Wildfly 11 和 Keycloak,但它停止工作。我正在使用不记名令牌来验证 Angular 应用程序,我认为这与 CORS 有关,因为当我手动删除“Origin”标头时,请求工作并返回预期结果,否则它将返回一个空响应。

  1. 这是正确的响应(注意我未选中 Origin 标头)

请求没有 Origin 标头

  1. 这是空结果

请求 WITH Origin 标头

0 投票
1 回答
360 浏览

database - 用户和角色的数据库认证关系

我对委托人使用的查询通过数据库工作,我得到了一条记录

但是当我尝试通过 jboss-cli.sh 使用它时

我收到这个错误

0 投票
0 回答
537 浏览

ejb - Wildfly 12 - 来自域控制器 (Elytron) 下远程服务器的 EJB 调用

我正在遵循此链接中的说明:https ://developer.jboss.org/people/fjuma/blog/2017/09/08/getting-started-with-ejbs-and-elytron-part-2

试图在域控制器下复制这些配置但没有成功。

我有两个服务器组,一个是另一个的客户端。但是服务器组“B”的服务器仍然无法从服务器组“A”的服务器中查找远程 EJB

我尝试使用来自域控制器的 jboss-cli.sh 配置服务器。在相应的配置文件中应用配置。

前任:

从域控制器的 jboss-cli.sh:

依此类推...socket-binding-group也在 domain.xml 中定义。

但是我的客户端服务器在查找远程 EJB 时仍然出错。

在域控制器下运行的服务器是否有其他配置以使远程调用正常工作?

错误:

谢谢!

0 投票
1 回答
961 浏览

wildfly - 从 Elytron 凭证库以编程方式访问密码

我在 WildFly 12 上使用 Elytron 来存储编码的数据源密码。

我使用以下 CLI 命令来存储密码:

到目前为止,这非常有效。现在我需要一种以编程方式读取此密码的方法,以便创建 PostgreSQL 数据库转储。

0 投票
1 回答
295 浏览

wildfly - Wildfly Elytron:SimpleSecurityManager 中不可用的主体

我使用 PasswordGuessEvidence 以及示例中提到的其他回调在https://github.com/wildfly-security-incubator/elytron-examples/tree/master/simple-http-mechanism中实现了类似于 CustomHeaderHttpAuthenticationMechanism 的身份验证机制。使用自定义机制的原因是,除了简单的凭证检查之外,我们还需要验证更多约束来检查用户是否被验证。

单步执行这个认证机制看起来还不错,authenticationComplete 方法被调用,并且 authorizeCallback 也成功了。但是,当通过 resteasy 端点访问 EJB(EJB 使用 @SecurityDomain 和 @RolesAllowed... 注释)时,SimpleSecurityManager.authorize 方法会失败,因为 securityContext.getUtil 方法既不提供主体也不提供其他东西。如果访问由@PermitAll 注释的方法,则成功。

我猜主体应该由 ServerAuthenticationContext 在处理不同的回调时创建,对吧?

我如何管理 SimpleSecurityManager 可以识别主体,我是否需要在我的身份验证机制中创建它,以及如何?

0 投票
0 回答
592 浏览

wildfly-swarm - Wildfly Swarm 2018.5.0 不启动 HTTPS 监听

我的配置在 WildFly Swarm 2018.4.1 上成功运行。当我尝试升级到 Wildfly Swarm 2018.5.0 时,我遇到了两个问题:

  1. NPE,可以通过遵循此 JIRA 项中的解决方法来解决:

    https://issues.jboss.org/browse/THORN-2015

更改后,服务器成功启动。然而

  1. HTTPS 侦听器未启动。我想这与 Wildfly Swarm 2018.5.0 中的重大变化有关,正如这篇文章中所宣布的:

    http://wildfly-swarm.io/posts/announcing-wildfly-swarm-2018-5-0/

    尤其是这句话:

    Elytron 子系统的默认配置现在更接近 WildFly 的。Elytron 是 WildFly 中的新安全子系统,但在 WildFly Swarm 中尚未受到太多关注。

    但是,我找不到我必须从当前配置进行更改以支持新配置的内容。

我需要对我的配置进行哪些更改才能使其在 WildFly Swarm 2018.5.0 下运行?

这是我的 pom(更改以支持解决方法 (1)):

还有我的项目-defaults.yml:

0 投票
2 回答
995 浏览

authentication - Wildfly / Elytron - 从 ejb 访问身份属性

我正在将旧的旧服务迁移到 EAP 7.1 它目前通过 LDAP 对用户进行身份验证和授权,我想将其移动到它所属的位置 - AS 上的安全域。

我有一个由 LDAP 领域支持的工作安全域,如下所示:

针对从 LDAP 属性映射中提取的身份属性“角色”进行授权。

现在这可行,我想从 LDAP 中获取更多属性(公司、名字、姓氏、电子邮件,可能还有更多)。这些已经被上面的配置拾取,Elytron 以我认为我应该期望的方式处理它们:

我想做的是从安全 EJB 中的代码中获取这些身份属性。当然可以注入 dir-context 并从代码本身查找属性,但这将是特定于部署的。我非常希望让 AS 通过SessionContext或等效项公开这些属性。

我不知道该怎么做。网上提供的大部分 Elytron 材料都是我的,只是复制了 cred 的官方示例,而只是一遍又一遍地重复使用相同的 Hello World 示例。

所以。总结一下。别介意这是一个 LDAP 领域。我需要的属性在 Identity 对象中可用。身份后来被转换为没有这些属性的主体,据我所知,主体是我可以通过 EJB 会话上下文访问的东西。

有什么方法可以让我从 EJB 中获取身份,或者至少是对其的看法?最好以与实现无关的方式?

此致!

/马格努斯·德鲁格

0 投票
1 回答
196 浏览

jboss7.x - EAP 7.1 与 Elytron - SAMLv2

我目前正在评估将旧版 JBoss EAP 6.1 应用程序从基于 Kerberos 的安全域迁移到带有 Elytron 的 JBOSS EAP 7.1 的 SAMLv2(PicketBox 已弃用且无法正常工作)。

现在我发现很难在 EAP7.1 中找到任何合适的示例或文档。

是简单地使用 Keycloak Adapters 的想法吗?我无法让它工作。

任何帮助表示赞赏。

问候,克里斯

0 投票
2 回答
473 浏览

ssl - 如何在信任库中为根证书配置 Elytron?

是否可以在信任库中使用 root-ca 证书配置 WildFly 13 客户端证书身份验证?客户端将使用由该根签名的证书。

这让我想知道:在这个文档中https://ctomc.github.io/docs-playground/WildFly_Elytron_Security.html他们说:

这意味着我可以将解码器配置为映射 CN 以外的属性,这将指向我的信任库中的 root-ca 别名,并且所有客户端证书都会有此属性指向 root-ca 别名。
但是,问题是,服务器如何知道将哪个用户映射到该证书,因为它将这个“其他”属性映射到信任库中的同一个证书?