2

MS Active Directory で動作する liberty プロファイル認証があります。しかし、グループへのロール マッピングをセットアップできません。

web.xml にセキュリティ ロールを作成しました。

<security-role>
    <description>Users who are authorized to do update and insert operations</description>
    <role-name>AuthorizedUser</role-name>
</security-role>

そして、wmm を使用した完全な WAS のために、ロールを ibm-application-bnd.xml のグループにマップしました。

<security-role name="AuthorizedUser" >
    <group name="mygroup" access-id="group:defaultWIMFileBasedRealm/CN=mygroup,OU=myorg,DC=mydomain,DC=AD,DC=myco,DC=com"/>
</security-role>

しかし、これは liberty プロファイルでは機能しません。
アクセス ID を変更する必要がありますか?

4

3 に答える 3

1

問題は「memberOf」の b/c 'o' != 'O' でした。これは TWAS では大文字と小文字が区別されなかったと思います。

MS Active Directory groupMemberIdMap をカスタマイズすると、グループ検索が修正されました。

<activedFilters groupMemberIdMap="memberOf:member"/>

于 2012-06-13T11:53:03.907 に答える
1

accessId は、ユーザー・レジストリーが構成されているものとまったく同じレルム名を使用する必要があります。たとえば、レジ​​ストリが次のように構成されている場合:

<ldapRegistry realm="myLDAPRealm"/>

次に、 accessId 値は同じ値を取る必要があります

<security-role name="AuthorizedUser" >
    <group name="mygroup" access-id="group:myLDAPRealm/..."/>
</security-role>

LDAP レジストリーのデフォルトのレルム名は「LdapRegistry」です。参考までに、基本レジストリーのデフォルトのレルム名は「BasicRegistry」です。

AJ_R が指摘したように、access-id フィールドを完全に削除して、access-id を自動的に生成することができます。多くの場合、access-id 値を手動で指定する必要はありません。

于 2012-05-15T20:04:45.563 に答える
0

MS Active Directory を構成するときに、同じ realmName (defaultWIMFileBasedRealm) を使用しましたか? access-id を削除して (グループ名を使用するだけ)、レジストリーに定義された relamName を使用して liberty サーバーにそれを生成させ、それが役立つかどうかを確認することもできます。

于 2012-05-15T13:32:13.417 に答える