kapok

什么是 LDAP，WLS 如何使用它？
輕量型目錄訪問協議 (LDAP) 是程序用于從服務器中查找聯系信息的一個協議。與關系數據庫很相似，每個 ldap 數據庫（或目錄）都擁有一個 schema。LDAP schema 是作為一組對象類定義和屬性定義來實現的。

LDAP 中使用的一些常用術語是：

dc= 域組件
o = 組織
ou= 組織單位
cn= 公用名
dn= 辨別名
uid= 用戶 ID

當您需要在 LDAP 中搜索條目時，必須提供搜索的基準和過濾器。
例如：

ldapsearch .b "dc=beasys,dc=com" uid=fred

這將返回符合過濾器中所指定條件 uid=fred 的用戶的所有屬性。

uid=fred,ou=People, dc=beasys,dc=com // 這就是所謂的“完整 DN”(Full DN)
objectClass=top
objectClass=person
objectClass=organizationalPerson
objectClass=inetorgperson
givenName=Fred
cn=Fred A
uid=fred
sn=A
creatorsName=uid=admin,ou=administrators,ou=topologymanagement,o=netscaperoot
modifiersName=uid=admin,ou=administrators,ou=topologymanagement,o=netscaperoot
createTimestamp=20040108160418Z
modifyTimestamp=20040108162837Z

此條目在 LDAP 樹中的形式如下：

                dc=beasys,dc=com
                  / (root)    \
       /         \
    /    \
          ou=people         ou=otherusers
          /
     uid=fred

WLS 可以從外部目錄服務器讀取和搜索信息，這樣就可以獲得正確的配置信息，進行連接、綁定、搜索（基準和過濾器）等。

為此，您需要在 WLS 中配置下列字段：

LDAP 服務器主機和端口
用于連接和進行搜索的用戶/密碼
用戶基準 DN：在進行用戶搜索時用作基準
用戶過濾器：在進行用戶搜索時用作過濾器
組基準 DN：在進行組搜索時用作基準
組過濾器：在進行組搜索時用作過濾器
組成員資格過濾器：在執行搜索以查找用戶所屬的組時用作過濾器

在這些字段內，您可以找到下列字符：

%u 將用用戶 ID 替代
%g 將用組替代
%M 將用用戶的完整 DN 替代

當 WLS 需要驗證某個用戶存在并擁有訪問資源的權限/角色時，它使用所定義的 Principal 用戶連接到 LDAP，然后對該用戶進行搜索，確認其是否存在，并用其密碼進行驗證。然后，它搜索該用戶所屬的組。

下面是用于成員資格檢查算法的一些簡潔偽代碼：

check_membership(group g, principal p):
for each group g1 that contains p directly:
if g1 == g or check_membership(g, g1)
then return success
return failure

一旦完成了上述步驟，WLS 將根據是允許訪問還是拒絕訪問，確認屬于已找到的組的用戶是否擁有訪問所請求資源的權限/角色。

返回頁首

WLS 中常用的 LDAP 服務器
WLS 中常用的 LDAP 服務器（作為 WLS 6.x 中的 LDAP 自定義 Realm 或較高 WLS 版本中的 Authentication Provider）是：

缺省的 Authentication Provider（內嵌 LDAP）－僅限于 WLS 7.x 和 WLS 8.x
Iplanet
Active Directory
OpenLDAP
Novell

返回頁首

WLS 6.x、WLS 7.x 和 WLS 8.x 之間的差異
WLS 6.x
LDAP Realm 被定義為自定義 Realm，其 Realm 類名被設置為 weblogic.security.ldaprealmv2.LDAPRealm。配置數據包含連接、搜索等操作所需的所有數據，并且必須已定義了下列設置：

server.host
server.port
server.principal
user.filter
user.dn
group.filter
group.dn
membership.filter

然后，自定義 Realm 被映射到一個緩存 Realm 上，該緩存 Realm 反過來也被選擇為服務器的缺省 Realm。

注意，在同一時間只有一個 Realm 是活動的。

WLS 嘗試在啟動時連接到 LDAP 服務器。如果您將 WebLogic Server 配置為使用自定義安全 Realm，而該 Realm 是不可用的，則 WebLogic Server 將不啟動。在 6.1SP6 中引入了一個新的啟動命令 -Dweblogic.security.RealmFailureOk=true，當該 Realm 不可用時，此命令將使服務器啟動。此命令強制服務器使用 File Realm 來啟動，而不是使用所配置的自定義 Realm。

WLS 7.x 和 WLS 8.x
WLS 7.x 和 WLS 8.x 擁有一個新的安全體系結構。有關詳細信息，請參閱： http://edocs/wls/docs70/secintro/realm_chap.html#1033368

如果您正在從 WLS 6.x 升級，那么 6.x 中定義的安全 Realm 將在兼容性范圍內以相同的方式定義。

WLS 在啟動時不會連接到 LDAP 服務器，除非它需要驗證用于啟動的用戶身份。當 WLS 需要驗證某個用戶身份時，它打開一個 ldap 連接，這一點與 6.x 不同，在 6.x 中總是在啟動時建立一個連接。

注意，可以有多個 Authentication Provider 處于活動狀態。缺省的 LDAPRealm 是內嵌的 LDAP Realm。

在 WLS 7.x / 8.x 安全模式下要定義 Authentication Provider，LDAP 服務器是 Authentication Provider。下面的文件里定義了常見的 Authentication Provider：

%WL_HOME%\server\lib\mbeantypes\wlSecurityProviders.jar

您可以開發一個自定義Authentication Provider，并復制到 %WL_HOME%\server\lib\mbeantypes，或復制到啟動時應在命令行標志中指定的另一個目錄 -Dweblogic.typesDir=<dir> 中（8.1SP2 中新增）。

返回頁首

排除連接故障
如果 Weblogic Server 無法連接到 LDAP 服務器，請驗證以下條件：

LDAP 服務器已啟動并正在運行。

您可以嘗試使用 LDAP 瀏覽器連接。有關詳細信息，請參閱工具。

LDAP 服務器的主機名定義正確，并且被運行 WLS 的計算機識別。

端口號正確（缺省值是 389，對于 SSL 是 636）。

Principal 是 LDAP 中存在的一個用戶，并且配置為用戶的完整 DN，而不僅僅是用戶 ID。Principal 可以類似于：

Principal="uid=admin, ou=Administrators, ou=TopologyManagement, o=NetscapeRoot"

您可以使用 LDAP 瀏覽器驗證用戶的完整 DN。有關詳細信息，請參閱工具。

密碼是 Principal 用戶的密碼。

常見的連接錯誤代碼是：

LDAP error (49) - incorrect password (credentials)
LDAP error (32) - incorrect principal (user)

有關 LDAP 結果代碼的完整列表，請參閱 http://docs.sun.com/source/816-5608-10/log.htm#15324。

返回頁首

排除用戶身份驗證故障
WLS 首先連接到 LDAP，然后根據在 Authentication Provider /自定義 Realm 中定義的用戶基準 DN 和用戶過濾器，嘗試搜索用戶。一旦找到該用戶，它就會嘗試用所提供的密碼進行身份驗證。

若要獲得有關用戶身份驗證失敗的確切位置的更多信息，可啟用調試標志。
此搜索將類似于：

<SecurityDebug><getDNForUser search ("ou=people,dc=beasys,dc=com", "(&(uid=fred)(objectclass=person))", base DN & below)

如果用戶不存在，您將會看到此消息：

<SecurityDebug><returnConnection conn:netscape.ldap.LDAPConnection@e4bb3c> javax.security.auth.login.FailedLoginException: [Security:090302]Authentication Failed: User fred denied

如果用戶密碼不正確，您將會看到下列信息：

下列信息說明在 LDAP 中找到了用戶，但在身份驗證時失敗：

返回頁首

排除組成員資格故障
在驗證用戶身份之后，就會對組進行一次搜索，以獲得該用戶所屬組的列表，此列表可用于實現組和角色之間的角色映射。

這次搜索是使用在Authentication Provider中定義的“Static Group DNs from Member DN Filter”（來自成員 DN 過濾器的靜態組 DN）來完成的。
iPlanet 的示例：

(&(uniquemember=%M)(objectclass=groupofuniquenames))

可根據您的 LDAP 層次結構來更改此搜索。

用您正在各組中搜索的用戶的完整 DN 代替％M。

為了獲得組成員資格失敗的確切位置的更多信息，可啟用調試標志。

如果該用戶不屬于任何組，或者如果搜索標準是無效的，您將會看到類似如下的調試信息：

注意上面如何用用戶的完整 DN 代替％M。

返回頁首

排除角色映射故障
在進行用戶身份驗證并找到組之后，WLS 將用戶＋組的列表與有權訪問該資源的 Principal 用戶進行比較，然后決定授予或拒絕訪問權限。

在 WLS 7.x 和 WLS 8.x 中，執行對角色映射器的調用以獲得用戶/組擁有的角色，然后執行對 Authorization Provider 的調用，從而授予或拒絕對所請求資源的訪問權限。

如果存在多個 Authorization Provider，則由 Adjudicator 根據授權訪問決策來決定是否授予或拒絕對所請求資源的訪問權限。

若要獲得有關角色映射失敗的確切位置的更多信息，可啟用調試標志。

下面是在 WLS 8.x 中對一個 Weblogic 用戶進行調試輸出的示例，該用戶是 Admin 組的成員，但不擁有 Admin 角色，因此無權啟動服務器：

<SecurityDebug> <Default RoleMapper getRoles(): input arguments:
Subject: 2
        Principal = class weblogic.security.principal.WLSUserImpl("weblogic")
        Principal = class weblogic.security.principal.WLSGroupImpl("Admin")
        Resource: type=<svr>, application=, server=cgServer, action=boot>
<SecurityDebug> <Default RoleMapper getRoles(): returning roles: Anonymous>
<SecurityDebug> <RoleManager.getRoles Subject: Subject: 2
        Principal = class weblogic.security.principal.WLSUserImpl("weblogic")
        Principal = class weblogic.security.principal.WLSGroupImpl("Admin")
        Resource: <svr> type=<svr>, application=, server=cgServer, action=boot Anonymous roles.>
<SecurityDebug> <Default Authorization isAccessAllowed(): input arguments:>
<SecurityDebug> <    Subject: 2
        Principal = class weblogic.security.principal.WLSUserImpl("weblogic")
        Principal = class weblogic.security.principal.WLSGroupImpl("Admin")
<SecurityDebug> <Roles:Anonymous>
<SecurityDebug> <Resource: type=<svr>, application=, server=cgServer, action=boot>
<SecurityDebug> <Direction: ONCE>
<SecurityDebug> <Context Handler: >
<SecurityDebug> <null>
<SecurityDebug> <Default Authorization isAccessAllowed(): returning DENY>

返回頁首

如何獲得配置數據
WLS 6.x
在 WLS 6.x 中，自定義安全 Realm 的配置信息保存到 config.xml 中。

WLS 7.x
在 WLS 7.x 中，Authentication Provider 配置并未在 config.xml 中定義。該信息以二進制格式保存在 domain_name\userConfig\Security 目錄中。

若要獲得配置信息，可在使用 setEnv.cmd/sh 設置環境后，在域目錄中執行下列命令：

java weblogic.management.commo.WebLogicMBeanDumper -includeDefaults -name Security:* output-file

此操作將會創建一個 xml 格式輸出文件，其中將包含與 WLS 7.x 中的安全性相關的所有配置數據。

有關此命令的詳細信息，請參閱：http://e-docsbea.com/wls/docs70/admin_domain/failures.html#1110150

WLS 8.x
在 WLS 8.x 中，Authentication Provider 的配置保存在 config.xml 中。

返回頁首

什么是 Authentication Provider 中的控制標志？
在 WLS 7.x 和 WLS 8.x 中，可以配置多個 Authentication Provider。您必須使用 Authenticator-->General 選項卡上的 JAAS Control Flag 屬性來控制在登錄序列中如何使用 Authentication Provider。

控制標志可取下面這些值之一：

REQUIRED －總是調用 Authentication Provider，并且用戶必須始終通過其身份驗證測試。

SUFFICIENT －如果用戶通過了此 Authentication Provider 的身份驗證測試，則不再執行其它 Authentication Provider（JAAS Control Flag 設置為 REQUIRED 的 Authentication Provider 除外），因為已對該用戶進行了充分的身份驗證。

REQUISITE －如果用戶通過了此 Authentication Provider 的身份驗證測試，執行其它 Authentication Provider 但可能會失敗（JAAS Control Flag 設置為 REQUIRED 的 Authentication Provider 除外）。

OPTIONAL －允許該用戶通過這些 Authentication Provider 的身份驗證測試，但是，如果在安全 Realm 中配置的所有 Authentication Provider 都將 JAAS Control Flag 設置為 OPTIONAL，則該用戶必須通過其中一個 Authentication Provider 的身份驗證測試。

備注：在創建安全 Provider 時，WebLogic Server 管理控制臺實際上將 JAAS Control Flag 設置為 OPTIONAL。安全提供程序的 MBean 實際上缺省為 REQUIRED。

返回頁首

在控制臺中列舉用戶/組
如果 ldap 中有過多的用戶/組，并且從控制臺中訪問它們時服務器掛起或需要很多時間，則可以進行如下設置來禁止列舉所有用戶/組：

EnumerationAllowed="false" （在 config.xml 的 <Realm> 標記上）。

備注：這只是針對用于 WLS 6.x 和 WLS 7.x 兼容模式的最新 Service Pack。對于 WLS 8.x，要確保至少擁有 SP2，因為在 SP2 中修正了一些問題。

性能問題
用戶身份驗證的當前行為如下：

在驗證用戶身份之后，確定組成員資格。

將用戶所屬的組確定作為一個列表。然后對于此列表中的每個組，查找該組所屬的所有組。

這一過程遞歸執行，直到某個組不再屬于其它組。

例如，如果用戶 U1 屬于組 G1 和 G2，而組 G1 屬于 G3，那么用戶 U1 屬于 G1、G2 和 G3。
為 U1 確定組成員資格－獲得 G1 和 G2，然后為 G1 確定組關系（獲得 G3），然后為 G2 確定組關系（無結果）。

這種遞歸搜索可能存在性能問題，特別是在 LDAP 中存在很多組的時候。

為了避免這種性能問題，可以配置兩個參數：

GroupMembershipSearching
MaxGroupMembershipSearchLevel

GroupMembershipSearching

此屬性控制組搜索的深度是有限還是無限。缺省值是無限次搜索。如果配置了有限次搜索，則 MaxGroupMembershipSearchLevel 屬性指定該限值。如果配置了無限次搜索，則忽略 MaxGroupMembershipSearchLevel。

MaxGroupMembershipSearchLevel
如果已將 GroupMembershipSearching 屬性設置為有限制，則此屬性控制組成員資格搜索的深度。否則忽略此屬性。缺省值是“0”（數字零）。

返回頁首

內嵌的 LDAP 問題
在 domain/server/ldap/ldapfiles 文件夾下創建了一個名為 embeddedldap.lok 的文件。
如果該文件存在，則服務器不能啟動，并將看到下列錯誤：

為避免此錯誤，應確保沒有沒有啟動其它進程或訪問此文件并將它刪除。
在關機時通常會對此文件進行解鎖，但如果上次發生了異常關機（如崩潰），則可能未正確解鎖此文件，從而在下次啟動時產生此類錯誤。

返回頁首

調試標志
在 WLS 6.x 中，在 config.xml 的 ServerDebug 標記下，添加下列信息以設置調試標志：

<ServerDebug DebugSecurityRealm="true" Name="myserver"/>

在 WLS 7.x 和 WLS 8.x 中，在 config.xml 的 ServerDebug 標記下，添加下列信息以設置調試標志。服務器重新啟動后將考慮這些標志：

也可以通過命令行，用 weblogic.Admin SET 命令來設置 ServerDebugMBean。注意，盡管調試屬性的變化值將反映在 ServerDebugMBean 狀態中，但在重新啟動 Admin 服務器之前將不再產生輸出。

下例說明如何使用命令行界面動態地啟用 DebugSecurityAtz 調試屬性：

java weblogic.Admin -url t3://host:port -username adminuser -password adminpwd SET -type ServerDebug -property DebugSecurityAtz true

此命令將在配置中設置所有服務器實例上的 DebugSecurityAtz 調試屬性。

通過檢查 config.xml 中的 StdoutDebugEnabled 被設置為“true”，確保已啟用調試到 stdout 選項?？梢酝ㄟ^控制臺或命令行來啟用調試到 stdout 選項：

-Dweblogic.StdoutDebugEnabled=true

調試信息將被記錄到服務器日志以及標準輸出中。

在 WLS 8.1 中，服務器日志文件在啟動時用 BEA-161519 消息進行指定：

BEA-161519 Notice: The server log file fileName is opened. All server side log events will be written to this file.

或者在 WLS 7.x 中通過以下消息來指定：

FileLogger Opened at fileName.

返回頁首

工具
LDAP 瀏覽器
LDAP 瀏覽器可用于訪問內嵌 LDAP 或其它任何 LDAP。您可以從網址 http://www.iit.edu/~gawojar/ldap/ 下載此工具。

若要確認您的 LDAP 服務器已啟動并正在運行，可以嘗試用此 LDAP 瀏覽器連接到該服務器和端口號。

單擊“Fetch DNs”將顯示 LDAP 服務器上的所有可用根基準 DN：

一旦連接后，您就可以看到 LDAP 樹：

正如在文件系統內用文件路徑來唯一標識文件一樣，在目錄樹內用辨別名 (DN) 來唯一標識目錄條目。DN 通過用一系列以逗號分隔的屬性和屬性值來標識條目。但是，DN 的路徑規范與傳統的文件系統的順序相反。也就是說，文件系統一般用最右邊的分量中指定的文件的實際名稱來從左至右跟蹤通向文件的路徑，而 DN 指定最左邊的分量作為實際目錄對象，最右邊的值作為目錄根點。

ldapsearch 命令
搜索用戶的另一個方法是使用 ldapsearch 命令，例如：

ldapsearch b "dc=beasys,dc=com" uid=fred

有關此命令和使用方法的詳細信息，請參閱 http://docs.sun.com/source/816-5608-10/utilities.htm#2019555。

返回頁首

Authentication Provider 的示例

IPlanet 身份驗證程序示例

<weblogic.security.providers.authentication.IPlanetAuthenticator
ControlFlag="SUFFICIENT"
Credential="{3DES}eFlqRhsYDyU5sqpnDRzCjg=="
DynamicGroupNameAttribute="cn"
DynamicGroupObjectClass="groupofURLs"
DynamicMemberURLAttribute="memberURL"
GroupBaseDN="ou=groups, dc=example,dc=com"
GroupFromNameFilter="(|(&(cn=%g)(objectclass=groupofUniqueNames))(&(cn=%g)(objectclass=groupOfURLs)))"
Host="HOST IP or NAME OF LDAP"
Name="Security:Name=myrealmIPlanetAuthenticator"
Port="the port number of LDAP"
Principal="uid=admin, ou=Administrators, ou=TopologyManagement, o=NetscapeRoot"
Realm="Security:Name=myrealm"
StaticGroupDNsfromMemberDNFilter="(&(uniquemember=%M)(objectclass=groupofuniquenames))"
StaticGroupNameAttribute="cn"
StaticGroupObjectClass="groupofuniquenames"
StaticMemberDNAttribute="member"
UserBaseDN="ou=people,dc=example,dc=com"
UserFromNameFilter="(&(uid=%u)(objectclass=person))"
UserNameAttribute="uid"
UserObjectClass="person"/>

Active Directory 身份驗證程序示例

<weblogic.security.providers.authentication.ActiveDirectoryAuthenticator
ControlFlag="SUFFICIENT" Credential="{3DES}96Kl0euDFQQ="
GroupBaseDN="CN=Users,DC=supportLDAP,DC=example,DC=com"
GroupFromNameFilter="(&(cn=%g)(objectclass=group))"
Host=" HOST IP or NAME OF LDAP"
Name="Security:Name=myrealmActiveDirectoryAuthenticator"
Principal="CN=Administrator,CN=Users,DC=supportLDAP,DC=example,DC=com
Realm="Security:Name=myrealm"
StaticGroupDNsfromMemberDNFilter="(&(member=%M)(objectclass=group))"
StaticGroupNameAttribute="cn"
StaticGroupObjectClass="group"
StaticMemberDNAttribute="member"
UserBaseDN="CN=Users,DC=supportLDAP,DC=example,DC=com"
UserFromNameFilter="(&(cn=%u)(objectclass=user))"
UserNameAttribute="cn" UserObjectClass="user"/>

OpenLDAP 身份驗證程序示例

<weblogic.security.providers.authentication.OpenLDAPAuthenticator
ControlFlag="SUFFICIENT" Credential="{3DES}96Kl0euDFQQ="
GroupBaseDN="ou=groups, dc=example, dc=com"
GroupFromNameFilter="(&(cn=%g)(objectclass=groupofnames))"
Name="Security:Name=myrealmOpenLDAPAuthenticator"
Principal="cn=Directory Manager,dc=example,dc=com"
Realm="Security:Name=myrealm"
StaticGroupDNsfromMemberDNFilter="(&(member=%M)(objectclass=groupofnames))"
StaticGroupNameAttribute="cn"
StaticGroupObjectClass="groupofnames"
StaticMemberDNAttribute="member"
UserBaseDN="ou=people, dc=example, dc=com"
UserFromNameFilter="(&(cn=%u)(objectclass=person))"
UserNameAttribute="cn" UserObjectClass="person"/>

返回頁首

是否需要更多幫助？
如果您已經理解這個模式，但仍需要其它幫助，您可以：

在 http://support.bea.com/ 上查詢 AskBEA（例如使用“ldap issue”)，以查找其它已發布的解決方案。
在 http://support.bea.com/ 上，向 BEA 的某個新聞組中提出更詳細具體的問題。

如果這還不能解決您的問題，并且您擁有有效的技術支持合同，您可以通過登錄以下網站來打開支持案例：http://support.bea.com/。

反饋

請給我們提供您的意見，說明此支持診斷模式“LDAP 問題”一文是否有所幫助，您需要的任何解釋，以及對支持診斷模式的新主題的任何要求。

免責聲明：

依據 BEA 與您簽署的維護和支持協議條款，BEA Systems, Inc. 在本網站上提供技術技巧和修補程序供您使用。雖然您可以將這些信息和代碼與您獲得 BEA 授權的軟件一起使用，但 BEA 并不對所提供的技術技巧和修補程序做任何形式的擔保，無論是明確的還是隱含的。

本文檔中引用的任何商標是其各自所有者的財產。有關完整的商標信息，請參考您的產品手冊。

posted on 2005-05-08 13:35 笨笨閱讀(3471) 評論(0) 編輯收藏所屬分類: J2EE 、ALL 、Weblogic Portal

新用戶注冊刷新評論列表


只有注冊用戶登錄后才能發表評論。




網站導航: 博客園 IT新聞 Chat2DB C++博客博問管理
相關文章: 簡化JavaMail：小巧 Jakarta Commons-Email 簡單教程讀"Under the Hood of J2EE Clustering" J2EE集群 Phase x509數字證書介紹 SSL※ X509 了解安全性斷言標記語言架構藍圖--軟件架構 "4+1" 視圖模型主動對象 Profile,Stereotype,TaggedValue與OCL漫談 Drools 為你的業務邏輯提供框架（翻譯）

kapok

常用鏈接

留言簿(28)

隨筆分類

隨筆檔案

Corba

EAI

Online Document

Open Source

Portal

RSS Links

Weblogic

不錯的鏈接

工具集合

數據倉庫相關

搜索

最新評論

閱讀排行榜

評論排行榜