问题标签 [elytron]

我想通过新的 Elytron 子系统将 WildFly 11 管理界面（管理控制台、Web 控制台）的安全性与 KeyCloak 集成。

我一直在寻找Wildfly 11 的最新文档，并且有一章Using KeyCloak with WildFly Elytron但不幸的是空的。

如果有人能给我一些建议如何做到这一点，我将不胜感激。

我使用新的 Elytron 适配器将我的应用程序升级到 Wildfly 11 和 Keycloak，但它停止工作。我正在使用不记名令牌来验证 Angular 应用程序，我认为这与 CORS 有关，因为当我手动删除“Origin”标头时，请求工作并返回预期结果，否则它将返回一个空响应。

1. 这是正确的响应（注意我未选中 Origin 标头）

2. 这是空结果

我对委托人使用的查询通过数据库工作，我得到了一条记录

但是当我尝试通过 jboss-cli.sh 使用它时

我收到这个错误

我正在遵循此链接中的说明：https ://developer.jboss.org/people/fjuma/blog/2017/09/08/getting-started-with-ejbs-and-elytron-part-2

试图在域控制器下复制这些配置但没有成功。

我有两个服务器组，一个是另一个的客户端。但是服务器组“B”的服务器仍然无法从服务器组“A”的服务器中查找远程 EJB

我尝试使用来自域控制器的 jboss-cli.sh 配置服务器。在相应的配置文件中应用配置。

前任：

从域控制器的 jboss-cli.sh：

依此类推...socket-binding-group也在 domain.xml 中定义。

但是我的客户端服务器在查找远程 EJB 时仍然出错。

在域控制器下运行的服务器是否有其他配置以使远程调用正常工作？

错误：

谢谢！

我在 WildFly 12 上使用 Elytron 来存储编码的数据源密码。

我使用以下 CLI 命令来存储密码：

到目前为止，这非常有效。现在我需要一种以编程方式读取此密码的方法，以便创建 PostgreSQL 数据库转储。

我使用 PasswordGuessEvidence 以及示例中提到的其他回调在https://github.com/wildfly-security-incubator/elytron-examples/tree/master/simple-http-mechanism中实现了类似于 CustomHeaderHttpAuthenticationMechanism 的身份验证机制。使用自定义机制的原因是，除了简单的凭证检查之外，我们还需要验证更多约束来检查用户是否被验证。

单步执行这个认证机制看起来还不错，authenticationComplete 方法被调用，并且 authorizeCallback 也成功了。但是，当通过 resteasy 端点访问 EJB（EJB 使用 @SecurityDomain 和 @RolesAllowed... 注释）时，SimpleSecurityManager.authorize 方法会失败，因为 securityContext.getUtil 方法既不提供主体也不提供其他东西。如果访问由@PermitAll 注释的方法，则成功。

我猜主体应该由 ServerAuthenticationContext 在处理不同的回调时创建，对吧？

我如何管理 SimpleSecurityManager 可以识别主体，我是否需要在我的身份验证机制中创建它，以及如何？

我的配置在 WildFly Swarm 2018.4.1 上成功运行。当我尝试升级到 Wildfly Swarm 2018.5.0 时，我遇到了两个问题：

1. NPE，可以通过遵循此 JIRA 项中的解决方法来解决：

   https://issues.jboss.org/browse/THORN-2015

更改后，服务器成功启动。然而

2. HTTPS 侦听器未启动。我想这与 Wildfly Swarm 2018.5.0 中的重大变化有关，正如这篇文章中所宣布的：

   http://wildfly-swarm.io/posts/announcing-wildfly-swarm-2018-5-0/

   尤其是这句话：

   Elytron 子系统的默认配置现在更接近 WildFly 的。Elytron 是 WildFly 中的新安全子系统，但在 WildFly Swarm 中尚未受到太多关注。

   但是，我找不到我必须从当前配置进行更改以支持新配置的内容。

我需要对我的配置进行哪些更改才能使其在 WildFly Swarm 2018.5.0 下运行？

这是我的 pom（更改以支持解决方法 (1)）：

还有我的项目-defaults.yml：

我正在将旧的旧服务迁移到 EAP 7.1 它目前通过 LDAP 对用户进行身份验证和授权，我想将其移动到它所属的位置 - AS 上的安全域。

我有一个由 LDAP 领域支持的工作安全域，如下所示：

针对从 LDAP 属性映射中提取的身份属性“角色”进行授权。

现在这可行，我想从 LDAP 中获取更多属性（公司、名字、姓氏、电子邮件，可能还有更多）。这些已经被上面的配置拾取，Elytron 以我认为我应该期望的方式处理它们：

我想做的是从安全 EJB 中的代码中获取这些身份属性。当然可以注入 dir-context 并从代码本身查找属性，但这将是特定于部署的。我非常希望让 AS 通过SessionContext或等效项公开这些属性。

我不知道该怎么做。网上提供的大部分 Elytron 材料都是我的，只是复制了 cred 的官方示例，而只是一遍又一遍地重复使用相同的 Hello World 示例。

所以。总结一下。别介意这是一个 LDAP 领域。我需要的属性在 Identity 对象中可用。身份后来被转换为没有这些属性的主体，据我所知，主体是我可以通过 EJB 会话上下文访问的东西。

有什么方法可以让我从 EJB 中获取身份，或者至少是对其的看法？最好以与实现无关的方式？

此致！

/马格努斯·德鲁格

我目前正在评估将旧版 JBoss EAP 6.1 应用程序从基于 Kerberos 的安全域迁移到带有 Elytron 的 JBOSS EAP 7.1 的 SAMLv2（PicketBox 已弃用且无法正常工作）。

现在我发现很难在 EAP7.1 中找到任何合适的示例或文档。

是简单地使用 Keycloak Adapters 的想法吗？我无法让它工作。

任何帮助表示赞赏。

问候，克里斯

是否可以在信任库中使用 root-ca 证书配置 WildFly 13 客户端证书身份验证？客户端将使用由该根签名的证书。

这让我想知道：在这个文档中https://ctomc.github.io/docs-playground/WildFly_Elytron_Security.html他们说：

这意味着我可以将解码器配置为映射 CN 以外的属性，这将指向我的信任库中的 root-ca 别名，并且所有客户端证书都会有此属性指向 root-ca 别名。
但是，问题是，服务器如何知道将哪个用户映射到该证书，因为它将这个“其他”属性映射到信任库中的同一个证书？