红帽全球峰会4.4. LdapExtended Login Module
短名称 :LdapExtended
全名 : org.jboss.security.auth.spi.LdapExtLoginModule
父名称???:UsernamePassword Login Module
LdapExtended 登录 模块将搜索要绑定的用户以及相关的角色以进行身份验证。角色以递归方式查询 DN,以浏览分层角色结构。登录模块选项包括所选 LDAP JNDI 提供商支持的任何选项。
身份验证以两个步骤进行:
-
使用 bindDN 和 bindCredential 选项实现到 LDAP 服务器的初始绑定。
bindDN是一个 LDAP 用户,能够同时搜索baseCtxDN和rolesCtxDN树以用户和角色搜索。要使用baseFilter属性指定的过滤器查询要对其进行身份验证的用户 DN。 - 生成的用户 DN 通过将用户 DN 作为主体名称绑定至 LDAP 服务器来验证,回调处理程序获得的密码是主体的凭据。
| 选项 | 类型 | 默认值 | 描述 |
|---|---|---|---|
| baseCtxDN | 完全限定 DN | none | 顶级上下文的固定 DN,用于开始用户搜索。 |
| bindCredential | 字符串,可选加密 | none | 用于存储 DN 的凭据。 |
| bindDN | 完全限定 DN | none |
用于绑定用户和角色查询的 LDAP 服务器的 DN。此 DN 需要 |
| baseFilter | LDAP 过滤器字符串 | none |
用于查找要进行身份验证的用户上下文的搜索过滤器。从登录模块回调获取的输入 |
| jaasSecurityDomain | 字符串 | none |
|
| rolesCtxDN | 完全限定 DN | none | 用于搜索用户角色的上下文的固定 DN。这不是实际角色所在的 DN,而是包含用户角色的对象的 DN。例如,在 Microsoft Active Directory 服务器中,这是用户帐户所在的 DN。 |
| roleFilter | LDAP 过滤器字符串 | none |
个搜索过滤器,用于查找与经过身份验证的用户关联的角色。从登录模块回调获取的输入 |
| roleAttributeID | attribute | role | 包含用户角色的属性名称。 |
| roleAttributeIsDN | true or false | false |
|
| defaultRole | 角色名称 | none | 为所有经过身份验证的用户包含角色 |
| parseRoleNameFromDN | true or false | false |
指示查询返回的 DN 是否包含 |
| parseUsername | true or false | false |
指示是否为 |
| usernameBeginString | 字符串 | none |
定义要从 DN 开头删除的字符串,以显示用户名。这个选项与 |
| usernameEndString | 字符串 | none |
定义要从 DN 末尾移除的字符串以显示 |
| roleNameAttributeID | attribute | name |
|
| distinguishedNameAttribute | attribute | distinguishedName | 包含用户的 DN 的用户条目中的属性名称。如果用户本身的 DN 包含特殊字符(例如,反斜杠),这可能会有必要,从而妨碍正确的用户映射。如果 属性不存在,则使用条目的 DN。 |
| roleRecursion | 整数 | 0 | 角色搜索的递归级别数将低于匹配的上下文。通过将此设置为 0 来禁用递归。 |
| searchTimeLimit | 整数 | 10000 或 10 秒 | 用户或角色搜索的超时时间(毫秒)。 |
| searchScope |
其中之一: |
| 要使用的搜索范围。 |
| allowEmptyPasswords | true or false | false |
是否允许空密码。大多数 LDAP 服务器将空密码视为匿名登录尝试。要拒绝空密码,请将其设置为 |
| referralUserAttributeIDToCheck | attribute | none |
如果不使用引用,可以忽略这个选项。使用引用时,如果角色对象在引用内,此选项表示包含为特定角色定义的用户的属性名称,如 |
有关连接到 LDAP 服务器和创建初始上下文相关的其他 LDAP 上下文属性的详情,请参考 LDAP 连接选项。
虽然此登录模块确实从其父进程 UsernamePassword Login Module 继承 ignorePasswordCase 选项,但它不会由这一特定登录模块使用。
当您使用带有 跨Ref 对象的 Microsoft Active Directory 创建引用时,您应该考虑 LDAP 登录模块仅为 baseCtxDN 使用一个值,并且只有一个值用于 rolesCtxDN。因此,初始用户和角色应存储在一个 Microsoft Active Directory 域中,以适应使用 LDAP 引用的可能性。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}