Spring Security LDAP 身份验证用户必须是 AD 组的成员

2023-11-26

我已经按照以下方式配置了 Spring Boot Security：https://spring.io/guides/gs/secure-web/

我可以完美地使用我的凭据登录。但是，我需要添加一个检查，以确保 AD 用户也必须属于特定的 AD 组（即AD-这是一个特定组). 登录时，如果用户不属于特定的 AD 组，则应返回登录错误。

我已经搜索了几个小时了，似乎找不到一个明确的方法来做到这一点WebSecurityConfigurerAdapter，我使用的是auth.groupSearchFilter正确吗？

这是我的代码：

@Configuration 
@EnableWebSecurity    
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

@Autowired
Environment env;

public LdapContextSource contextSource () {
    LdapContextSource contextSource= new LdapContextSource();

    contextSource.setUrl(env.getRequiredProperty("ldap.url"));
    contextSource.setBase(env.getRequiredProperty("ldap.baseDn"));
    contextSource.setUserDn(env.getRequiredProperty("ldap.bindDn"));
    contextSource.setPassword(env.getRequiredProperty("ldap.batchPassword"));
    contextSource.afterPropertiesSet();
    return contextSource;
}

@Override
protected void configure(AuthenticationManagerBuilder auth)
        throws Exception {
     auth.ldapAuthentication()
        .userSearchFilter("(cn={0})")           
        .groupSearchBase("OU=Account Groups,OU=ITS Security")
        .groupSearchFilter("(cn=AD-this-is-a-specific-group)") 
        .contextSource(contextSource()); 
}

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests().anyRequest().fullyAuthenticated()
        .and()
        .formLogin();
}

我很抱歉迟到了 5 年，但我在 Spring Boot 中实现的非常简单的 LDAP 身份验证遇到了完全相同的问题。

我只想要这个： - 这是正确的用户名吗？ - 密码正确吗？ - 如果是，该 usr 是否在 MYGROUP 组中？

所以我的配置方法现在看起来非常小。我在一个单独的 bean 中添加了填充器，只是意识到我需要将其添加到“auth.ldapAuthentication”中，以便调用它。

@Override
public void configure(AuthenticationManagerBuilder auth) throws Exception {

auth.ldapAuthentication()
        .userSearchFilter("uid={0}")
        .ldapAuthoritiesPopulator(ldapAuthoritiesPopulator())
        .groupSearchFilter("(member={0})") 
        .contextSource(contextSource());
}

@Bean
public LdapAuthoritiesPopulator ldapAuthoritiesPopulator() {

DefaultLdapAuthoritiesPopulator populi = new DefaultLdapAuthoritiesPopulator(contextSource(), "") {

    @Override
    public Set<GrantedAuthority> getGroupMembershipRoles(String userDn, String username) {
        Set<GrantedAuthority> groupMembershipRoles = super.getGroupMembershipRoles(userDn, username);

        boolean isMemberOfSpecificAdGroup = false;
        for (GrantedAuthority grantedAuthority : groupMembershipRoles) {

            if ("ROLE_MYGROUP".equals(grantedAuthority.toString())) {
                isMemberOfSpecificAdGroup = true;
                break;
            }
        }

        if (!isMemberOfSpecificAdGroup) {

            throw new BadCredentialsException("User must be a member of " + "ROLE_MYGROUP");
        }
        return groupMembershipRoles;
    }
};

    return populi;
}

@Bean
public DefaultSpringSecurityContextSource contextSource() {
    return new DefaultSpringSecurityContextSource("ldap://blabla-some-url:389/dc=something,dc=something,dc=ch");
    }

顺便说一句：该网址不像中提到的那样工作Spring引导指南它只能这样工作，就像一行中的所有内容一样：

return new DefaultSpringSecurityContextSource("ldap://blabla-some-url:389/dc=something,dc=something,dc=ch");

顺便说一句，对于遵循该指南的每个人来说：如果您连接到现有的 LDAP 服务器，则不需要所有这些“spring.ldap.embedded”应用程序属性。

所以非常感谢您的帮助！

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

Java

SpringSecurity

springboot

LDAP

SpringLdap

Spring Security LDAP 身份验证用户必须是 AD 组的成员的相关文章

cucumber.json 报告被重新运行场景报告覆盖

我有一个具有相同技术堆栈 JAVA1 8 Cucumber JVM JUnit Maven 的 UI 测试项目和一个 API 测试项目这两个项目都向我展示了这个问题可能是因为两者都存在相同的依赖关系集我使用了使用 maven sure
使用 Firebase Java API 检索/格式化数据的最佳方式

我在用着Firebase用于数据存储Android项目并使用Firebase Java API来处理数据不过我不确定我是否尽可能高效地完成此操作并且我希望获得一些有关检索和格式化数据的最佳实践的建议我的Firebase存储库看起来
在 Java 中重新抛出异常而不丢失堆栈跟踪

在 C 中我可以使用throw 语句重新抛出异常同时保留堆栈跟踪 try catch Exception e if e is FooException throw Java中有没有类似的东西不会丢失原始堆栈跟踪 catch Whate
Spring Kafka - 为任何主题的分区消耗最后 N 条消息

我正在尝试读取请求的卡夫卡消息数对于非事务性消息我们将从 endoffset N 对于 M 个分区开始轮询并收集当前偏移量小于每个分区的结束偏移量的消息对于幂等事务消息我们必须考虑事务标记重复消息这意味着偏移量将不连续在这
CDI 对象无法使用注入的构造函数进行代理

当尝试将参数注入 CDI bean ApplicationScoped 的构造函数时我遇到以下问题 Caused by org jboss weld exceptions UnproxyableResolutionException WE
如何获取JavaFX的版本号？

如何在运行时找出我正在使用哪个版本的 JavaFX 简单的方法之一就是简单地阅读javafx properties文件位于您的 JAVA HOME jre lib目录我现在安装了 Java 1 7 u9 与之捆绑的 JavaFX 是 v2
Appengine - 隐藏文件夹的部署

为了验证 SSL 证书我需要将包含一些文件的隐藏文件夹 well known 上传到我的应用程序我正在使用 eclipse 部署 java 应用程序但 appengine 上的应用程序未收到这些文件我猜他们被过滤掉了我尝试将隐藏文
是否有适用于 Java 的 Harel Statechart DSL 工具？

我正在寻找一种能够理解 DSL 的工具在其中我可以定义生成 Java 代码的状态图或者 DSL 中的状态图可以按原样运行该工具最好用 Java 编写并且必须根据 Harel 状态图或等效的 UML 2 状态机的定义支持超级状态和
结果显示图像上有衬里

我正在使用 opencv 和 android ndk 下面是我的 jni 代码 void Vignete Mat img1 Mat img2 Mat out resize img1 img1 img2 size img1 convertTo
自 Java 7 以来 HttpServer 延迟 1 秒

我们正在使用内部HttpServer项目中的类用于通过 HTTP 在客户端和服务器之间交换数据当我们切换到 Java 7 时我们意识到结果交付存在延迟我们可以将问题简化为以下示例 Class EchoServer创建上下文 echo
错误：libXext.so.6：无法打开共享对象文件：没有这样的文件或目录[重复]

这个问题在这里已经有答案了运行尝试打开 ods 文件的 java 文件时出现以下错误线程 main 中出现异常 java lang UnsatisfiedLinkError opt software jdk1 6 0 45 jre li
在 Java 类型参数中，仅意味着严格的子类型？或者 E 也足够了吗？

在 Java 类型参数中是否仅意味着严格的子类型或者 E 也足够了吗这并不严格 E就足够了
Jhipster：对非管理员隐藏实体

问候 Java 潮人我刚刚生成了一个 jhipster 项目并创建了一些实体我想通过将某些实体限制为仅管理员用户来隐藏它们我该如何实现这一目标 Thanks 初读Spring安全文档 http docs spring io autor
JNA Windows 服务启动类型

我一直在使用 JNA 并且能够使用下面的代码返回 Windows 服务的状态即启动或停止但我不确定如何返回服务的启动类型我确信 JNA 之外还有其他方法但如果可能的话我想继续使用 JNA import com sun jna imp
通过命令行参数更改默认的 ant 目标

最近我被分配了一个任务让ant能够为不同的环境构建war包除了一项功能外我几乎完成了蚂蚁接受一个env参数类似 Denv DEV 并使用不同的配置文件来制作war包但默认目标是start它将构建部署并启动 tomcat 我不希望
AWS Java SDK 中 DynamoDB v2 的迁移详细信息？

有没有人对新的命名空间进行了更改 com amazonaws services dynamodbv2 以及 AWS Java SDK 1 4 2 及更高版本中 DynamoDB 的接口本地二级指数的发布显然需要根据1 4 2 发行说明
如何指示 yum 安装特定版本的 OpenJDK

我尝试安装openjdk in the redhat服务器如何安装指定版本我要安装的版本是 11 0 4 使用以下命令安装的版本是11 0 6 yum install java 11 openjdk devel 曾与 yum showd
术语“可序列化”是什么意思？ [复制]

这个问题在这里已经有答案了不太确定我读过的定义可序列化实际上做了什么 import java io Serializable import java text StringCharacterIterator import java uti
来自 Janino 和 Commons-Compiler 的 Spark java.lang.NoSuchMethodError

我正在构建一个使用 Spark 进行基于随机森林分类的应用程序当尝试运行该程序时我从该行收到异常 StringIndexerModel labelIndexer new StringIndexer setInputCol label
所有语言中特殊字符的 Java 正则表达式

在我的用户输入字段中我想允许某些特殊字符字母和数字的组合我应该确保正则表达式模式在输入时允许此设置任何语言基本上我构建的这个正则表达式也应该支持 unicode 表示如何使用 Java 中的 Pattern 类来实现这一点这里给

随机推荐

在 MVC 5 中正确获取 DataProtectionProvider 以进行依赖项注入

当尝试创建一个DataProtectionProvider手动我偶然发现了 Microsoft 文档DpapiDataProtectionProvider其中说用于提供源自于的数据保护服务数据保护 API 这是您数据保护的最佳选择应用
TranslateAnimated ImageView 动画后不可点击 [Android]

我有2个ImageView我从屏幕顶部翻译到底部这些视图是从 xml 中获取的动画是从 java 代码中添加的动画效果很完美但是onClickListener我在java代码中添加似乎不起作用我用了fillAfter动画的属性使
为什么“while(!feof(file))”总是错误？

使用有什么问题feof 控制读循环例如 include
如何在 QTableWidget 中禁用选择突出显示？

我有一个QTableWidget与残疾人setSelectionMode QTableWidget NoSelection 和QTableWidgetItems 我填写没有Qt ItemIsEditable flag 尽管如此被单击的单元
获取SDL 2应用程序的窗口句柄

我想获取 SDL2 窗口的句柄以便将其与 WinApi 一起使用我使用以下代码检索该句柄 All the SDL initalisation SDL Window window SDL CreateWindow My Window SD
如何在鼠标离开元素后继续 :hover 上的 CSS 动画？

有动画示例 b ball bounce transform origin top webkit keyframes ball animation 20 transform rotate 9deg 40 transform rotate 6d
DataGridView-当我按 Enter 键时，它会转到下一个单元格

我有一个包含 5 列的 datagridview 当我按输入时它会转到下一个单元格当它到达行的末尾时当我按输入时它会添加一个新行但我的问题是当我移到上一个单元格时我按 Enter 键后的行会跳过行并且不会转到下一个单元格有什
在 PHP 中验证信用卡的最佳方法是什么？

给定一个信用卡号码并且没有其他信息 PHP 中确定它是否是有效号码的最佳方法是什么现在我需要一些可以与美国运通卡 Discover 万事达卡和维萨卡一起使用的东西但如果它也可以与其他类型一起使用那可能会有所帮助卡号验证分为三个部分
Rails 4如何捕获ajax：成功事件

我使用的是 Rails 4 0 我正在发送这样的事件注意 remote gt true 我的控制器看起来像这样 def rate video Video find by hashed id params id action params
无法从网页中抓取产品标题

我正在尝试抓取此产品中可用的产品标题webpage使用请求模块但脚本总是抛出AttributeError即使产品标题位于页面源代码中 ctrl U 我尝试过 throws AttributeError import requests fr
从 Windows 10 上的 Win32 GUI 应用程序输出到控制台

我尝试将此代码输出到控制台 include
无法获取 org.gradle.api.project 类型的项目“:shared_preferences”的未知属性“android”

我试图在我的应用程序中使用共享首选项在使用它之前只需添加依赖项就会出现此错误有人有什么想法吗提前致谢我在使用 aapt2 proto 时遇到了这个问题并通过以下方式修复它 in 项目文件夹 gradle wrapper grad
Gradle 插件：约定与扩展

我正在编写一个 Gradle 插件并且通过阅读用户指南和 Gradle 项目内插件的源代码来学习 Gradle 在源代码中我发现了两种向项目添加属性的方法习俗由JavaBasePlugin并由JavaPlugin 扩大由Annou
极其滞后的 RecyclerView 性能

我有一个RecyclerView内部的实现ViewPager 而且它的性能非常糟糕这是相关表演的视频我有两种视图类型并且正在使用 ViewHolder 模式所以这不是通货膨胀或查找导致问题的视图这是适配器这是cardview x
使用 BeautifulSoup 访问下一个同级
元素

我对使用 Python BeautifulSoup 进行网络解析完全陌生我有一个 HTML 其部分代码如下 div ul li class active a href example com Example a li li a hre
在 WCF 中 - 在“故障”事件中 - 如何获取异常详细信息？

我有一个 WCF 服务器我正在利用故障事件该事件愚蠢地只给我对象发送者 EventArgs e 如何获取该事件中当前的异常对象或者如果有某种全局系统方式例如 Environment GetCurrentException
无法解析 Activity 的超类

我在基于 OpenGL ES 10 的新项目中收到此错误 09 03 12 44 07 870 W dalvikvm 599 Unable to resolve superclass of Lcom example basicgl10tes
应用函子：<*> 和部分应用，它是如何工作的

我正在看书Haskell 编程作者格雷厄姆赫顿 Graham Hutton 我有一些问题不明白如何 lt gt 部分应用程序可用于解析字符串我知道pure 1 lt gt Just 2产生Just 3因为pure 1 产生Just 1
Ruby on Rails：如果是当前页面？是主页，不显示表单

我不想显示表单但前提是当前页面不是主页这就是我到目前为止所拥有的我有我的路线设置 root projects index My view show some stuff 这不会显示网址是否为localhost 3000 project
Spring Security LDAP 身份验证用户必须是 AD 组的成员

我已经按照以下方式配置了 Spring Boot Security https spring io guides gs secure web 我可以完美地使用我的凭据登录但是我需要添加一个检查以确保 AD 用户也必须属于特定的 AD

Spring Security LDAP 身份验证用户必须是 AD 组的成员

Spring Security LDAP 身份验证用户必须是 AD 组的成员 的相关文章

随机推荐

热门标签

Spring Security LDAP 身份验证用户必须是 AD 组的成员的相关文章