問題タブ [jaas]

JBOSS で実行されているごく普通の Java EE アプリケーションがあります。JBoss DatabaseLoginModule JAAS 認証を使用します。また、Hibernate にはまったく同じアプリケーション層のユーザー/ロールがあります。

すべてのユーザーを読み取り専用ユーザーにするソフトウェア ライセンス オブジェクト (休止状態を使用しない) に設定できる機能ビットを用意するというアイデアがあります (とにかく、これは私にとって非常に便利だと思います)。これにより、ライセンスを再取得して、製品の読み取り専用バージョンを作成できます。

私がやりたいのは、プログラム内でアクセス可能なブール値フラグに基づいてユーザーの関連付けを再マップすることです。

したがって、通常は（多対多結合）

ユーザー -*UserRole*-Role -*RoleActions

どこ

user.roleid =>role.id

ブール値が設定されている場合 (ソフトウェア ライセンスで設定された機能ビット)

JAAS が、ライセンスにそう記載されている場合、すべてのユーザーが roleid =1 であるかのように動作することを望みます。

何か案は ？

私は J2EE アーキテクチャ全体に非常に慣れていません。誰か助けてくれませんか？

マシン A にログイン、パスワード フィールドを持つ Swing クライアントがあります。

マシン B の JBoss5 に EJB 3.0 があります。

サーバー上にユーザーとロールを含む DB があります (conf/login-conf.xml):

META-INF/jboss.xml:

私が理解しているように、クライアントが適切に認証されるまで、ejb 参照を取得するべきではありません。LoginContext を使用するにはどうすればよいですか? 使用できます@EJB private MyBeanRemote ejbか? そして、どうすれば全体を機能させることができますか?

私は一見些細なことを構築しようとしています:アプリケーションクライアントの承認。私はばかだと感じます。

どうもありがとうございました。

Web サービスを介してログインを実行する必要がある Java Web アプリケーションを作成しています。もちろん、私が使用しているアプリケーション サーバー (glassfish v2) で提供されているレルムはどれもうまくいきません。したがって、私は自分で書かなければなりませんでした。しかし、私が書いたレルムの実装は完全に Glassfish に結び付けられており、他のアプリケーション サーバーでそのまま使用することはできないようです。

カスタム Realm を実装するための標準的または広くサポートされている方法はありますか? そのレルムを .war から展開することは何らかの方法で可能ですか?それとも、常にサーバー自身のクラスパスからロードする必要がありますか?

通常とは異なるログイン手順を実行する必要がある Java アプリケーションを作成しています。私の問題の 1 つは、ユーザーが単純なユーザー名とパスワードの組み合わせ以上のものを提供する必要があることです。具体的には、ユーザー名/パスワード/ドメインの組み合わせが必要です。

もう 1 つの問題は、私のアプリケーションがいくつかのパスワード有効期間ルールを適用していることです (例: パスワードは 90 日後に無効になります)。私が使用している認証サーバーは、パスワードの有効期限が切れると認証を拒否し、ユーザーに新しいパスワードの選択を強制します。したがって、私のログインプロセスはそれを処理できる必要があります。

残念ながら、標準の j_security_check サーブレットでは、そのようなことはできません。Java Web アプリケーション用のカスタムで安全なログイン プロシージャを作成する方法はありますか。

注: ドメインの提供に関する問題は、j_username フィールドにユーザー名だけでなくユーザー名\ドメインを入力し、カスタム レルムにそれをデコードさせることで回避できます。ただし、これは少しぎこちなく、とにかく 2 番目の問題を解決しません。

フォームベースの認証（JBOSS / JAAS）を使用していますが、フォームがデータをサーブレットに送信しているため、ログインを試みる前にいくつかのチェックを実行できます。

今、私はj_security_checkに転送する必要がありますが、私が試したものは機能しませんでした（404エラー）...

j_security_checkにリダイレクト/転送するにはどうすればよいですか（アプリケーションはhttps / ssslで実行されていることに注意してください）？

私はそれをリダイレクトで動作させることができ、パラメータはURLに入れられますが、それは安全ではありません（ユーザー/パスがブラウザの履歴に残っているなど）...

何か案は？

提供されたユーザー名、パスワード、およびドメイン名を使用して、ユーザーがプライマリドメインコントローラーで正常に認証されたかどうかを示すブール値を取得するにはどうすればよいですか？認証は、Windowsドメインコントローラー用のKerberosプロトコルを使用して実行する必要があります。よろしくお願いします、ダン

Java5 で、JDK API のみを使用してアプリケーションを実行しているユーザーのフルネームを取得する方法はありますか? (JAAS とサードパーティのライブラリについては知っていますが、ターゲット システムにインストールされていない可能性があります)。

System.getProperty("user.name") については知っていますが、ユーザーNAMEではなくユーザーIDを返します。

IDの外部化の価値提案は、多くのサイトがOpenID、CardSpace、またはフェデレーションIDを受け入れるようになり始めています。ただし、多くの開発者は、承認を外部化し、XACMLに基づくアプローチを使用するための次のステップをまだ実行していません。

理由は意識の欠如か何か他のものですか？ソフトウェア開発へのXACMLベースのアプローチについてどのように学ぶと思いますか？

私は認証ではなく承認について質問していることに注意してください。

JETTY でシングル サインオンをサポートしようとしています。Jetty の SSO サポートを通じてシングル サインオンをサポートする Web サーバーを実行している 2 つのサブドメインがあります。

account.test.com app.test.com

*.test.com に設定された SSOSession Cookie がありますが、サインオフをサポートするには、app.test.com で実行されている Jetty サーバーで JSESSIONID Cookie がリセットされていることを確認する必要があります。

現在、Jetty JAAS FormAuthenticator を使用し、SSORealm をオーバーライドして、FormAuthenticator が呼び出されたときに SSOSession Cookie の検証をサポートしています。

account.test.com でユーザーがサインインできるようにしたいと考えています。これにより、app.test.com で使用されている JSESSIONID Cookie が無効になります。

おそらくより正確な解決策の 1 つは、SSOSession Cookie の変更を検出し、サーバー上の JSESSIONID を無効にすることです。