Особенности настройки провайдера Weblogic к Active Directory

Особенности настройки провайдера Weblogic к Active Directory

   В этом посте я расскажу, как сделать аутентификацию по доменным учетным записям в веблоджике, а также в приложениях, которые на веблоджике работают. На самом деле тут все просто:

  1. Зайти в консоль веблоджика
  2. Выбрать Security Realms
  3. Выбрать myrealm (по умолчанию название такое, но возможно в вашем случае может быть что-то ещё)
  4. Перейти на вкладку Providers
  5. Выбрать New в части страницы Authentication Providers
  6. Выбрать из списка ActiveDirectoryAuthenticator и задать имя (например, SecurnyComAuthenticator)
  7. Веблоджик может использовать несколько провайдеров аутентификации, поэтому для созданного провайдера, а также для DefaultAuthenticator нужно поменять Control Flag на SUFFICIENT. Это позволит логиниться в веблоджике под учеткой из внутреннего и внешнего каталогов
  8. Для некоторых приложений требуется переместить созданный провайдер вверх списка с помощью кнопки Reorder
  9. Далее нужно перейти на вкладку Provider Specific в созданном ActiveDirectoryAuthenticator и заполнить инфой следующие поля:
    Host: securny.com (IP-адрес или FQDN сервера Active Directory)
    Port: 389
    Principal: cn=admapping,cn=users,dc=securny,dc=com (я создал пользователя admapping в каталоге Active Directory, под учеткой которого производится маппинг)
    Credential: welcome1
    Confirm Credential: welcome1
    User Base DN: cn=Users,dc=securny,dc=com
    User From Name Filter: (&(samaccountname=%u)(objectclass=user))
    User Name Attribute: samaccountname
    Use Retrieved Name As Principal: True
    Group Base DN: cn=Users,dc=securny,dc=com
    Propagate Cause for Login Exception: True

    выглядит это так:






   Для всех оставшихся полей вполне подойдут дефолтные значения.

   Веблоджик попросит перезагрузиться, после чего выполним настройку админских прав для учеток из Active Directory. Тут тоже никаких сложностей:

  1. Зайти в консоль веблоджика
  2. Выбрать Security Realms
  3. Выбрать myrealm (по умолчанию название такое, но возможно в вашем случае может быть что-то ещё)
  4. Перейти на вкладку Roles and Policies
  5. Раскрыть "Global Roles" - "Roles" и нажать "View Role Conditions" напротив роли Admin
  6. Нажать Add Conditions, выбрать User или Group, ввести одно или несколько имен пользователей или названий групп, нажать Add и Finish
  7. Не забыть нажать Save

   После этих несложных манипуляций пользователи (или группы пользователей) из каталога Active Directory станут обладать админскими правами в консоли веблоджика.

   Вернемся к тому месту, где указывается Principal технологической учетной записи при настройке провайдера к Active Directory. Что гласит подсказка в правой части страницы? Там написано: "The Distinguished Name (DN) of the LDAP user that Weblogic Server should use to connect to the LDAP server". DN в моем примере выглядит так: "cn=admapping,cn=users,dc=securny,dc=com". Я утверждаю, что использование DN в этом поле не является хорошей практикой, и вот почему. Часто в больших организациях каталог Active Directory имеет структуру, схожую со структурой самой организации. То есть выглядит это так: "cn=пользователь,ou=подразделение,ou=отдел,ou=департамент,ou=дирекция,dc=домен,dc=домен". В тот момент, когда по какой-либо из причин меняется название одной из OUшек в DN, весь домен веблоджика перестает работать. В это трудно поверить, но такое случается без согласований и предупреждений. И в этом случае, хорошим выбором будет использование одного из двух вариантов указания учетных данных: "DOMAIN\user" или "user@domain.local". Веблоджик прекрасно понимает такой Principal и замечательно работает в этом случае.

Оставить комментарий