JBoss7:LDAP 连接问题
JBoss7: LDAP connectivity issue
我有一个 Web 应用程序部署在 Jboss7。除了一件事,一切都很好。我们有两台不同的 AD/LDAP 服务器,一台用于 UAT,另一台用于生产用户。 UAT AD/LDAP 用户可以登录,但是生产 AD/LDAP 用户无法登录。
standalone.xml 中的安全域 - UAT LDAP 配置
<security-domain name="other" cache-type="default">
<authentication>
<login-module code="org.jboss.security.auth.spi.LdapLoginModule" flag="optional">
<module-option name="java.naming.factory.initial" value="com.sun.jndi.ldap.LdapCtxFactory"/>
<module-option name="java.naming.provider.url" value="ldap://XXX.XXX.XX.XX:389/"/>
<module-option name="java.naming.security.authentication" value="simple"/>
<module-option name="password-stacking" value="useFirstPass"/>
<module-option name="principalDNPrefix" value="CN="/>
<module-option name="principalDNSuffix" value=",CN=Users,DC=CISLAB,DC=TP,DC=EDU,DC=IN"/>
<module-option name="rolesCtxDN" value="CN=Users,DC=CISLAB,DC=TP,DC=EDU,DC=IN"/>
<module-option name="uidAttributeID" value="member"/>
<module-option name="matchOnUserDN" value="false"/>
<module-option name="roleAttributeID" value="cn"/>
<module-option name="roleAttributeIsDN" value="false"/>
</login-module>
</authentication>
standalone.xml 中的安全域 - 生产 LDAP 配置
<security-domain name="other" cache-type="default">
<authentication>
<login-module code="org.jboss.security.auth.spi.LdapLoginModule" flag="optional">
<module-option name="java.naming.factory.initial" value="com.sun.jndi.ldap.LdapCtxFactory"/>
<module-option name="java.naming.provider.url" value="ldap://XXX.XXX.XX.XX:389/"/>
<module-option name="java.naming.security.authentication" value="simple"/>
<module-option name="password-stacking" value="useFirstPass"/>
<module-option name="bindDN" value="CN=ESA AD Account,OU=Special Accounts,DC=TP,DC=EDU,DC=IN"/>
<module-option name="bindCredential" value="XXX"/>
<module-option name="baseCtxDN" value="CN=Users,DC=TP,DC=EDU,DC=IN"/>
<module-option name="baseFilter" value="(sAMAccountName={0})"/>
<module-option name="rolesCtxDN" value="CN=Users,DC=TP,DC=EDU,DC=IN"/>
<module-option name="roleFilter" value="(sAMAccountName={0})"/>
<module-option name="roleAttributeID" value="sAMAccountName"/>
<module-option name="roleAttributeIsDN" value="false"/>
<module-option name="defaultRole" value="user"/>
<module-option name="roleNameAttributeID" value="CN"/>
<module-option name="allowEmptyPasswords" value="false"/>
</login-module>
</authentication>
server.log
12:11:07,002 ERROR [org.jboss.security.authentication.JBossCachedAuthenticationManager] (https_executor-threads - 2) Login failure: javax.security.auth.login.FailedLoginException: Password Incorrect/Password Required
at org.jboss.security.auth.spi.UsernamePasswordLoginModule.login(UsernamePasswordLoginModule.java:270) [picketbox-4.0.7.Final.jar:4.0.7.Final]
一切都一样,如果我用生产 LDAP 服务器修改了 standalone.xml,那么用户将无法登录应用程序。
任何人都可以告诉我为什么会发生这种情况或任何人都遇到过类似的问题。感谢您的帮助。
bindDN & bindCredential 属性是 LdapExtLoginModule class and initially we had only extend LdapLoginModule class 的一部分。后来我们也扩展了 LdapExtLoginModule class。终于问题得到解决。
<module-option name="bindDN" value="CN=ESA AD Account,OU=Special Accounts,DC=TP,DC=EDU,DC=IN"/>
<module-option name="bindCredential" value="XXX"/>
我有一个 Web 应用程序部署在 Jboss7。除了一件事,一切都很好。我们有两台不同的 AD/LDAP 服务器,一台用于 UAT,另一台用于生产用户。 UAT AD/LDAP 用户可以登录,但是生产 AD/LDAP 用户无法登录。
standalone.xml 中的安全域 - UAT LDAP 配置
<security-domain name="other" cache-type="default">
<authentication>
<login-module code="org.jboss.security.auth.spi.LdapLoginModule" flag="optional">
<module-option name="java.naming.factory.initial" value="com.sun.jndi.ldap.LdapCtxFactory"/>
<module-option name="java.naming.provider.url" value="ldap://XXX.XXX.XX.XX:389/"/>
<module-option name="java.naming.security.authentication" value="simple"/>
<module-option name="password-stacking" value="useFirstPass"/>
<module-option name="principalDNPrefix" value="CN="/>
<module-option name="principalDNSuffix" value=",CN=Users,DC=CISLAB,DC=TP,DC=EDU,DC=IN"/>
<module-option name="rolesCtxDN" value="CN=Users,DC=CISLAB,DC=TP,DC=EDU,DC=IN"/>
<module-option name="uidAttributeID" value="member"/>
<module-option name="matchOnUserDN" value="false"/>
<module-option name="roleAttributeID" value="cn"/>
<module-option name="roleAttributeIsDN" value="false"/>
</login-module>
</authentication>
standalone.xml 中的安全域 - 生产 LDAP 配置
<security-domain name="other" cache-type="default">
<authentication>
<login-module code="org.jboss.security.auth.spi.LdapLoginModule" flag="optional">
<module-option name="java.naming.factory.initial" value="com.sun.jndi.ldap.LdapCtxFactory"/>
<module-option name="java.naming.provider.url" value="ldap://XXX.XXX.XX.XX:389/"/>
<module-option name="java.naming.security.authentication" value="simple"/>
<module-option name="password-stacking" value="useFirstPass"/>
<module-option name="bindDN" value="CN=ESA AD Account,OU=Special Accounts,DC=TP,DC=EDU,DC=IN"/>
<module-option name="bindCredential" value="XXX"/>
<module-option name="baseCtxDN" value="CN=Users,DC=TP,DC=EDU,DC=IN"/>
<module-option name="baseFilter" value="(sAMAccountName={0})"/>
<module-option name="rolesCtxDN" value="CN=Users,DC=TP,DC=EDU,DC=IN"/>
<module-option name="roleFilter" value="(sAMAccountName={0})"/>
<module-option name="roleAttributeID" value="sAMAccountName"/>
<module-option name="roleAttributeIsDN" value="false"/>
<module-option name="defaultRole" value="user"/>
<module-option name="roleNameAttributeID" value="CN"/>
<module-option name="allowEmptyPasswords" value="false"/>
</login-module>
</authentication>
server.log
12:11:07,002 ERROR [org.jboss.security.authentication.JBossCachedAuthenticationManager] (https_executor-threads - 2) Login failure: javax.security.auth.login.FailedLoginException: Password Incorrect/Password Required
at org.jboss.security.auth.spi.UsernamePasswordLoginModule.login(UsernamePasswordLoginModule.java:270) [picketbox-4.0.7.Final.jar:4.0.7.Final]
一切都一样,如果我用生产 LDAP 服务器修改了 standalone.xml,那么用户将无法登录应用程序。
任何人都可以告诉我为什么会发生这种情况或任何人都遇到过类似的问题。感谢您的帮助。
bindDN & bindCredential 属性是 LdapExtLoginModule class and initially we had only extend LdapLoginModule class 的一部分。后来我们也扩展了 LdapExtLoginModule class。终于问题得到解决。
<module-option name="bindDN" value="CN=ESA AD Account,OU=Special Accounts,DC=TP,DC=EDU,DC=IN"/>
<module-option name="bindCredential" value="XXX"/>