主页
产品
Red Hat JBoss Enterprise Application Platform
6.2
安全指南
11.9.7. 关于用 LDAP 进行授权和组加载

11.9.7. 关于用 LDAP 进行授权和组加载

在 LDAP 目录里，有些条目用于用户帐号而有些条目用于组，并通过使用属性来进行交叉引用。有些属性是从用户帐号引用组条目，或者是组上的属性引用作为组成员的用户。在一些服务器上，这两种交叉引用的形式都存在。

用户使用简单的用户名通过服务器来验证也是很常见的，搜索组成员信息取决于使用的目录服务器。你可以使用简单名称来执行搜索，也可以用目录里的用户条目的标识名来执行。

用户连接服务器的验证步骤总是先发生的，一旦它已经决定用户成功验证，服务器将开始加载用户组。因为验证和授权步骤都使用到 LDAP 服务器的连接，安全区包含一个优化办法，也就是任何用于验证的连接都将被组加载步骤重用。如下面的配置步骤所展示的，你可以在授权部分定义角色来将用户的简单名称转换为标识名，这可能复制在验证步骤发生的搜索，所以，如果用户名到标识名的搜索已被执行，那么这个搜索的结果就可以被缓存和重用而无需再次进行搜索。

<authorization>
    <ldap connection="...">
       <username-to-dn> <!-- OPTIONAL -->
           <!-- Only one of the following. -->
           <username-is-dn />
           <username-filter base-dn="..." recursive="..." user-dn-attribute="..." attribute="..." />
           <advanced-filter base-dn="..." recursive="..." user-dn-attribute="..." filter="..." />
        </username-to-dn>
       <group-search group-name="..." iterative="..." group-dn-attribute="..." group-name-attribute="..." >
           <!-- One of the following -->
           <group-to-principal base-dn="..." recursive="..." search-by="...">
               <membership-filter principal-attribute="..." />
           </group-to-principal>
           <principal-to-group group-attribute="..." />
       </group-search>
    </ldap>
</authorization>

<authorization>
    <ldap connection="...">
       <username-to-dn> <!-- OPTIONAL -->
           <!-- Only one of the following. -->
           <username-is-dn />
           <username-filter base-dn="..." recursive="..." user-dn-attribute="..." attribute="..." />
           <advanced-filter base-dn="..." recursive="..." user-dn-attribute="..." filter="..." />
        </username-to-dn>
       <group-search group-name="..." iterative="..." group-dn-attribute="..." group-name-attribute="..." >
           <!-- One of the following -->
           <group-to-principal base-dn="..." recursive="..." search-by="...">
               <membership-filter principal-attribute="..." />
           </group-to-principal>
           <principal-to-group group-attribute="..." />
       </group-search>
    </ldap>
</authorization>

Copy to Clipboard

Toggle word wrap

重要

有些例子里的属性是用默认值设置的，在此出现的目的是为了说明而已。当服务器进行持久化时，这些包含默认值的属性将从配置里删除。

username-to-dn

如上所述，有时候你需要在授权配置里定义如何从被验证的用户的用户名映射到 LDAP 目录里条目的标识名。username-to-dn 元素是关于它的定义的，只有下列两者都为 true 才要求定义这个元素：

验证步骤不是通过 LDAP 进行的。
组搜索在搜索过程中使用标识名。

请注意，当你阅读下面的例子时，你会觉得其验证配置是重复的，确实是这样 - 如果你只使用 LDAP 进行验证，那这并非必需的，因为将在验证过程中获取标识名。

1:1 username-to-dn

这个是最基本的配置形式，用于指定远程用户输入的用户名实际上是标识名。

<username-to-dn>
   <username-is-dn />
</username-to-dn>

<username-to-dn>
   <username-is-dn />
</username-to-dn>

Copy to Clipboard

Toggle word wrap

因为这是定义的 1:1 的映射，所以没有其他可能的配置。

username-filter

下一个选项和上面验证步骤描述的选项非常类似，它简单地按照提供的用户名进行搜索。

<username-to-dn>
    <username-filter base-dn="dc=people,dc=harold,dc=example,dc=com" recursive="false" attribute="sn" user-dn-attribute="dn" />
</username-to-dn>

<username-to-dn>
    <username-filter base-dn="dc=people,dc=harold,dc=example,dc=com" recursive="false" attribute="sn" user-dn-attribute="dn" />
</username-to-dn>

Copy to Clipboard

Toggle word wrap

可以在这里设置的属性是：

base-dn: 开始搜索的上下文的标识名。
recursive：搜索是否将扩展到子上下文。默认值为 false。
attribute：根据提供的用户名尝试和匹配的用户条目的属性。默认值为 uid。
user-dn-attribute：为获得用户标识名而读取的属性。默认值为 dn。

advanced-filter

这个最后的选项指定了高级过滤器，和验证部分一样，这是使用自定义过滤器来定位用户标识名的机会。

<username-to-dn>
    <advanced-filter base-dn="dc=people,dc=harold,dc=example,dc=com" recursive="false" filter="sAMAccountName={0}" user-dn-attribute="dn" />
</username-to-dn>

<username-to-dn>
    <advanced-filter base-dn="dc=people,dc=harold,dc=example,dc=com" recursive="false" filter="sAMAccountName={0}" user-dn-attribute="dn" />
</username-to-dn>

Copy to Clipboard

Toggle word wrap

对应 username-filter 的属性的默认值都是一样的，这里不再列出。新的属性是：

filter：用于搜索用户条目的过滤器，用户名将在占位符 {0} 里替换。

重要

XML 格式必须保持有效，定义过滤器来确保特殊字符（如 &）的正确格式。例如，对于 & 字符是 &。

组搜索

如上面所描述的，在搜索组成员资格信息时你可以使用两种风格。第一种是用户条目包含引用用户所属组的属性。第二种风格是组包含引用用户条目的属性。

当可以选择风格时，红帽推荐引用所用组的用户条目的配置。这是因为用这个方法时组信息可以通过读取已知标识名来加载而无需执行任何搜索。另外一个方法则要求额外的搜索来确定引用用户的组。

在描述配置之前，这里有几个 LDIF 例子来进行解释。

例 11.1. Principal to Group - LDIF 示例。

这个例子展示了用户 TestUserOne，它是 GroupOne 的成员，而 GroupOne 也是 GroupFive 的成员。通过属性 memberOf 展示了组成员资格，它被设置为用户（或组）所属的组的标识名。

这里没有展示的是用户可能具有多个 memberOf 的属性集，每个都对应该用户所属的组。

dn: uid=TestUserOne,ou=users,dc=principal-to-group,dc=example,dc=org
objectClass: extensibleObject
objectClass: top
objectClass: groupMember
objectClass: inetOrgPerson
objectClass: uidObject
objectClass: person
objectClass: organizationalPerson
cn: Test User One
sn: Test User One
uid: TestUserOne
distinguishedName: uid=TestUserOne,ou=users,dc=principal-to-group,dc=example,dc=org
memberOf: uid=GroupOne,ou=groups,dc=principal-to-group,dc=example,dc=org
memberOf: uid=Slashy/Group,ou=groups,dc=principal-to-group,dc=example,dc=org
userPassword:: e1NTSEF9WFpURzhLVjc4WVZBQUJNbEI3Ym96UVAva0RTNlFNWUpLOTdTMUE9PQ==

dn: uid=GroupOne,ou=groups,dc=principal-to-group,dc=example,dc=org
objectClass: extensibleObject
objectClass: top
objectClass: groupMember
objectClass: group
objectClass: uidObject
uid: GroupOne
distinguishedName: uid=GroupOne,ou=groups,dc=principal-to-group,dc=example,dc=org
memberOf: uid=GroupFive,ou=subgroups,ou=groups,dc=principal-to-group,dc=example,dc=org

dn: uid=GroupFive,ou=subgroups,ou=groups,dc=principal-to-group,dc=example,dc=org
objectClass: extensibleObject
objectClass: top
objectClass: groupMember
objectClass: group
objectClass: uidObject
uid: GroupFive
distinguishedName: uid=GroupFive,ou=subgroups,ou=groups,dc=principal-to-group,dc=example,dc=org

dn: uid=TestUserOne,ou=users,dc=principal-to-group,dc=example,dc=org
objectClass: extensibleObject
objectClass: top
objectClass: groupMember
objectClass: inetOrgPerson
objectClass: uidObject
objectClass: person
objectClass: organizationalPerson
cn: Test User One
sn: Test User One
uid: TestUserOne
distinguishedName: uid=TestUserOne,ou=users,dc=principal-to-group,dc=example,dc=org
memberOf: uid=GroupOne,ou=groups,dc=principal-to-group,dc=example,dc=org
memberOf: uid=Slashy/Group,ou=groups,dc=principal-to-group,dc=example,dc=org
userPassword:: e1NTSEF9WFpURzhLVjc4WVZBQUJNbEI3Ym96UVAva0RTNlFNWUpLOTdTMUE9PQ==

dn: uid=GroupOne,ou=groups,dc=principal-to-group,dc=example,dc=org
objectClass: extensibleObject
objectClass: top
objectClass: groupMember
objectClass: group
objectClass: uidObject
uid: GroupOne
distinguishedName: uid=GroupOne,ou=groups,dc=principal-to-group,dc=example,dc=org
memberOf: uid=GroupFive,ou=subgroups,ou=groups,dc=principal-to-group,dc=example,dc=org

dn: uid=GroupFive,ou=subgroups,ou=groups,dc=principal-to-group,dc=example,dc=org
objectClass: extensibleObject
objectClass: top
objectClass: groupMember
objectClass: group
objectClass: uidObject
uid: GroupFive
distinguishedName: uid=GroupFive,ou=subgroups,ou=groups,dc=principal-to-group,dc=example,dc=org

Copy to Clipboard

Toggle word wrap

例 11.2. Group to Principal - LDIF 示例

这个例子展示了相同的用户 TestUserOne，它是 GroupOne 的成员（反之也是 GroupFive 的成员）- 然而在这个例子里，它是一个用于交叉引用的组到用户的属性 uniqueMember。

用于组成员资格交叉引用的属性可以重复，如果你查看 GroupFive，那里也有一个没有显示在这里的对其他用户 TestUserFive 的引用。

dn: uid=TestUserOne,ou=users,dc=group-to-principal,dc=example,dc=org
objectClass: top
objectClass: inetOrgPerson
objectClass: uidObject
objectClass: person
objectClass: organizationalPerson
cn: Test User One
sn: Test User One
uid: TestUserOne
userPassword:: e1NTSEF9SjR0OTRDR1ltaHc1VVZQOEJvbXhUYjl1dkFVd1lQTmRLSEdzaWc9PQ==

dn: uid=GroupOne,ou=groups,dc=group-to-principal,dc=example,dc=org
objectClass: top
objectClass: groupOfUniqueNames
objectClass: uidObject
cn: Group One
uid: GroupOne
uniqueMember: uid=TestUserOne,ou=users,dc=group-to-principal,dc=example,dc=org

dn: uid=GroupFive,ou=subgroups,ou=groups,dc=group-to-principal,dc=example,dc=org
objectClass: top
objectClass: groupOfUniqueNames
objectClass: uidObject
cn: Group Five
uid: GroupFive
uniqueMember: uid=TestUserFive,ou=users,dc=group-to-principal,dc=example,dc=org
uniqueMember: uid=GroupOne,ou=groups,dc=group-to-principal,dc=example,dc=org

dn: uid=TestUserOne,ou=users,dc=group-to-principal,dc=example,dc=org
objectClass: top
objectClass: inetOrgPerson
objectClass: uidObject
objectClass: person
objectClass: organizationalPerson
cn: Test User One
sn: Test User One
uid: TestUserOne
userPassword:: e1NTSEF9SjR0OTRDR1ltaHc1VVZQOEJvbXhUYjl1dkFVd1lQTmRLSEdzaWc9PQ==

dn: uid=GroupOne,ou=groups,dc=group-to-principal,dc=example,dc=org
objectClass: top
objectClass: groupOfUniqueNames
objectClass: uidObject
cn: Group One
uid: GroupOne
uniqueMember: uid=TestUserOne,ou=users,dc=group-to-principal,dc=example,dc=org

dn: uid=GroupFive,ou=subgroups,ou=groups,dc=group-to-principal,dc=example,dc=org
objectClass: top
objectClass: groupOfUniqueNames
objectClass: uidObject
cn: Group Five
uid: GroupFive
uniqueMember: uid=TestUserFive,ou=users,dc=group-to-principal,dc=example,dc=org
uniqueMember: uid=GroupOne,ou=groups,dc=group-to-principal,dc=example,dc=org

Copy to Clipboard

Toggle word wrap

通用组搜索

通过上面例子里展示的两种方法，我们知道首先需要定义两者共用的属性。

<group-search group-name="..." iterative="..." group-dn-attribute="..." group-name-attribute="..." >
    ...
</group-search>

<group-search group-name="..." iterative="..." group-dn-attribute="..." group-name-attribute="..." >
    ...
</group-search>

Copy to Clipboard

Toggle word wrap

group-name：这个属性用来指定用于作为用户所属组列表返回的组名的格式。这可以是组名的简单格式或者是组的标识名，如果标识名是必需的，那这个属性可以设置为 DISTINGUISHED_NAME。默认值是 SIMPLE。
iterative：这个属性用来指定在确定用户所属的组之后是否应该根据组所属的组迭代地进行搜索。如果启用了迭代搜索，那么我们将继续搜索，直到到达不是成员的组或检测到循环。它的默认值为 false。

循环的组成员并不是一个问题。我们保存了每次搜索的记录来防止已搜索过的组被再次搜索。

重要

为了迭代式搜索能正常进行，组条目需要和用户条目一致，也就是使用相同的方法来确定用户所属的组和确定组所属组。但对于组到组的成员关系，如果用于交叉引用的属性或者引用方向有改动，那这就无法实现了。

group-dn-attribute：组条目上的哪个属性是其标识名。默认为 dn。
group-name-attribute：组条目上的哪个属性是其简单名。默认为 uid。

例 11.3. Principal to Group 配置示例

基于上面的 LDIF 例子，下面是一个循环加载用户组的配置示例，用来进行交叉引用的属性是用户的 memberOf。

<authorization>
    <ldap connection="LocalLdap">
        <username-to-dn>
            <username-filter base-dn="ou=users,dc=principal-to-group,dc=example,dc=org" recursive="false" attribute="uid" user-dn-attribute="dn" />
        </username-to-dn>
        <group-search group-name="SIMPLE" iterative="true" group-dn-attribute="dn" group-name-attribute="uid">
            <principal-to-group group-attribute="memberOf" />
        </group-search>
    </ldap>
</authorization>

<authorization>
    <ldap connection="LocalLdap">
        <username-to-dn>
            <username-filter base-dn="ou=users,dc=principal-to-group,dc=example,dc=org" recursive="false" attribute="uid" user-dn-attribute="dn" />
        </username-to-dn>
        <group-search group-name="SIMPLE" iterative="true" group-dn-attribute="dn" group-name-attribute="uid">
            <principal-to-group group-attribute="memberOf" />
        </group-search>
    </ldap>
</authorization>

Copy to Clipboard

Toggle word wrap

这个配置最重要的方面是已添加了带有单个属性的 principal-to-group 元素。

group-attribute：

例 11.4. Group to Principal 配置示例

这个例子展示了一个对上面的 group to principal LDIF 例子的迭代搜索。

<authorization>
      <ldap connection="LocalLdap">
          <username-to-dn>
              <username-filter base-dn="ou=users,dc=group-to-principal,dc=example,dc=org" recursive="false" attribute="uid" user-dn-attribute="dn" />
          </username-to-dn>
          <group-search group-name="SIMPLE" iterative="true" group-dn-attribute="dn" group-name-attribute="uid">
              <group-to-principal base-dn="ou=groups,dc=group-to-principal,dc=example,dc=org" recursive="true" search-by="DISTINGUISHED_NAME">
                  <membership-filter principal-attribute="uniqueMember" />
              </group-to-principal>
          </group-search>
      </ldap>
  </authorization>

<authorization>
      <ldap connection="LocalLdap">
          <username-to-dn>
              <username-filter base-dn="ou=users,dc=group-to-principal,dc=example,dc=org" recursive="false" attribute="uid" user-dn-attribute="dn" />
          </username-to-dn>
          <group-search group-name="SIMPLE" iterative="true" group-dn-attribute="dn" group-name-attribute="uid">
              <group-to-principal base-dn="ou=groups,dc=group-to-principal,dc=example,dc=org" recursive="true" search-by="DISTINGUISHED_NAME">
                  <membership-filter principal-attribute="uniqueMember" />
              </group-to-principal>
          </group-search>
      </ldap>
  </authorization>

Copy to Clipboard

Toggle word wrap

在这里添加了 group-to-principal 元素，这个元素用来定义引用用户条目的组搜索如何只执行，它将设置下列属性：

base-dn: 开始搜索的上下文的标识名。
recursive：是否搜索子上下文。默认为 false。
search-by：在搜索里使用的角色名称的格式。有效值是 SIMPLE 和 DISTINGUISHED_NAME。默认值为 DISTINGUISHED_NAME。

在 group-to-principal 元素里有一个定义交叉引用的 membership-filter 元素。

principal-attribute：引用用户条目的组条目上的属性名称。默认值为 member。

提交 bug 报告

返回顶部

11.9.7. 关于用 LDAP 进行授权和组加载

username-to-dn

组搜索

通用组搜索

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links