Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Java Новый топик    Ответить
Топик располагается на нескольких страницах: 1 2      [все]
 Авторизация Active Directory  [new]
Korcar
Member

Откуда:
Сообщений: 7899
Всем привет

Простой вопрос: как сделать доступ к веб-приложению только авторизованным пользователям? То есть учетка пользователя не включается ни в какие группы ActiveDirectory, но ввод пароля и авторизация обязательная для всех и, соответственно, все авторизованные пользователи могут войти в приложение (JSP/Tomcat)


Раньше для ограничения доступа прописывал в web.xml проекта путь до группы AD, которая используется в качестве индикатора для предоставления доступа.
<auth-constraint>
  <role-name></role-name>
</auth-constraint>
...
<security-role>
  <role-name></role-name>
</security-role>

Но теперь конкретной группы нет. И фиг знает что тут вписывать
3 окт 19, 09:44    [21985563]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2089
Korcar
Простой вопрос: как сделать доступ к веб-приложению только авторизованным пользователям?
вин аутентификация + керберос?
Клиент в домене и входит через ослик на ваш сайт без пароля. Так?
3 окт 19, 09:56    [21985566]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
andreykaT
Member

Откуда:
Сообщений: 2421
PetroNotC Sharp
Korcar
Простой вопрос: как сделать доступ к веб-приложению только авторизованным пользователям?
вин аутентификация + керберос?
Клиент в домене и входит через ослик на ваш сайт без пароля. Так?

да не. чел хочет чтоб логин пароль на сайте в формочке вбивались и бэк с ними ходил в АД, подгребал оттуда юзера и его группы и говорил можно не можно.
3 окт 19, 10:56    [21985622]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2089
andreykaT,
Ждем ТС. Что же он так долго думает.
3 окт 19, 10:58    [21985626]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2089
andreykaT
да не. чел хочет чтоб логин пароль на сайте в формочке вбивались и бэк с ними ходил в АД, подгребал оттуда юзера и его группы и говорил можно не можно.
сам чел в домене или нет?
3 окт 19, 10:59    [21985628]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
asv79
Member

Откуда: Тверь
Сообщений: 2539
Spring Security
3 окт 19, 10:59    [21985629]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2089
asv79
Spring Security
а без спринг?
3 окт 19, 11:01    [21985634]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
Korcar
Member

Откуда:
Сообщений: 7899
PetroNotC Sharp
andreykaT,
Ждем ТС. Что же он так долго думает.

товарищи, ну так обед же.

вариант с установкой новых инструментов типа фреймворков и использования дополнительных протоколов немножко не подходит. Вроде как вещь то простая

Андрюшка меня правильно понял: при первом входе в веб-приложение пользователь должен ввести логин пароль и тем самым авторизоваться. То есть конкретных групп доступа в AD для этого приложения нет (доступ у всех пользователей имеющих учетки в AD), но возможность анонимного входа надо как бы исключить
3 окт 19, 11:31    [21985656]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
asv79
Member

Откуда: Тверь
Сообщений: 2539
PetroNotC Sharp
asv79
Spring Security
а без спринг?

а что ест такие веб проекты без спринг?неужто на сервлетах )))
3 окт 19, 11:40    [21985667]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2089
Korcar
Андрюшка меня правильно понял: при первом входе в веб-приложение пользователь должен ввести логин пароль и тем самым авторизоваться. То есть конкретных групп доступа в AD для этого приложения нет (доступ у всех пользователей имеющих учетки в AD), но возможность анонимного входа надо как бы исключить

Уточняю.
При вхоле в Ось в домен не входишь? Так?
Это еще до запуска ослика набора урл к тебе.
2. Но роль и логин в AD есть, иначе вообще не войти.
Так?
3 окт 19, 11:42    [21985670]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2089
asv79,
Веб сервер +керберос
3 окт 19, 11:43    [21985672]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
Korcar
Member

Откуда:
Сообщений: 7899
PetroNotC Sharp
Korcar
Андрюшка меня правильно понял: при первом входе в веб-приложение пользователь должен ввести логин пароль и тем самым авторизоваться. То есть конкретных групп доступа в AD для этого приложения нет (доступ у всех пользователей имеющих учетки в AD), но возможность анонимного входа надо как бы исключить

Уточняю.
При вхоле в Ось в домен не входишь? Так?
Это еще до запуска ослика набора урл к тебе.
2. Но роль и логин в AD есть, иначе вообще не войти.
Так?

При входе в Ось в домен входишь
Это еще до запуска браузера - да. Браузер не обязательно будет ослик
Учетка в АД есть, но может быть абсолютно голая, то есть не включена ни в одну доменную группу, тем не менее к приложению доступ иметь должна после ввода логина и пароля владельцем этой учетки
Как-то так
3 окт 19, 12:01    [21985693]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2089
Korcar
При входе в Ось в домен входишь
нааример, роль admins, user petro.
Вопрос. Почему по этому логину автоматом не входить БЕЗ ФОРМЫ ВХОДА.
А внутри дополнительно спроси или личный кабинет?
3 окт 19, 12:09    [21985702]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
andreykaT
Member

Откуда:
Сообщений: 2421
PetroNotC Sharp
asv79
Spring Security
а без спринг?

Юзай голый лдап кто тебе запретит? Но в спринге лдап это пара строк
3 окт 19, 12:17    [21985709]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
andreykaT
Member

Откуда:
Сообщений: 2421
Korcar
PetroNotC Sharp
пропущено...

Уточняю.
При вхоле в Ось в домен не входишь? Так?
Это еще до запуска ослика набора урл к тебе.
2. Но роль и логин в AD есть, иначе вообще не войти.
Так?

При входе в Ось в домен входишь
Это еще до запуска браузера - да. Браузер не обязательно будет ослик
Учетка в АД есть, но может быть абсолютно голая, то есть не включена ни в одну доменную группу, тем не менее к приложению доступ иметь должна после ввода логина и пароля владельцем этой учетки
Как-то так

Где пароль вводить то?) в браузере??
3 окт 19, 12:18    [21985711]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
Korcar
Member

Откуда:
Сообщений: 7899
PetroNotC Sharp
Korcar
При входе в Ось в домен входишь
нааример, роль admins, user petro.
Вопрос. Почему по этому логину автоматом не входить БЕЗ ФОРМЫ ВХОДА.
А внутри дополнительно спроси или личный кабинет?

не-не-не. в веб-системах пока пароль не введешь никакие роли АД автоматом не работают, поэтому связку логин-пароль надо ручками вводить в обязаловку

вход в домен - это значит, что на твой профиль в компе, с которого заходишь, сразу накатываются доменные политики и проходит виндовая авторизация в системах, которые её поддерживают (при первом обращении без ввода пароля), но это не наш случай
3 окт 19, 12:21    [21985720]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
Korcar
Member

Откуда:
Сообщений: 7899
andreykaT
Korcar
пропущено...

При входе в Ось в домен входишь
Это еще до запуска браузера - да. Браузер не обязательно будет ослик
Учетка в АД есть, но может быть абсолютно голая, то есть не включена ни в одну доменную группу, тем не менее к приложению доступ иметь должна после ввода логина и пароля владельцем этой учетки
Как-то так

Где пароль вводить то?) в браузере??

да. в браузере при входе в веб-приложение. раньше при ограничении доступа 1-2 группами АД они прописывались в web.xml проекта, и веб-приложение в любом случае запрашивала пароль на вход, чтобы проверить вхождение введённой учетки в эти группы, а теперь групп нет, но авторизация нужна (виндовая не поддерживается, да и войти может не только тот чел, кто в данный момент на компе залогинился)
Где веб-проекту JSP-шному выставить флажок: всегда спрашивать логин-пароль юзера? - в этом вопрос

Ибо надо бы прочитать само имя учетки, подгрузить фио, телефон, мыло из AD
3 окт 19, 12:27    [21985728]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
andreykaT
Member

Откуда:
Сообщений: 2421
гугли слова spring security ldap active directory example
вот по ходу самый простой:
https://medium.com/@viraj.rajaguru/how-to-use-spring-security-to-authenticate-with-microsoft-active-directory-1caff11c57f2
3 окт 19, 12:34    [21985742]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2089
Korcar
не-не-не. в веб-системах пока пароль не введешь никакие роли АД автоматом не работают, поэтому связку логин-пароль надо ручками вводить в обязаловку
разуверьте меня.
Я про роли спрашиваю?
Почему нельзя по логину вошедшему в AD зайти на ваш сайт не вводя второй раз?
3 окт 19, 12:51    [21985766]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2089
andreykaT
Юзай голый лдап кто тебе запретит? Но в спринге лдап это пара строк
я говорил о настройке веб сервера на керберос а не голом ldap. Это же не спринг.
3 окт 19, 12:53    [21985771]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2089
andreykaT,

автор
Существует четыре компонента конфигурации встроенной поддержки Tomcat для проверки подлинности Windows.

Это спринг?
3 окт 19, 12:56    [21985778]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2089
Korcar
виндовая не поддерживается, да и войти может не только тот чел, кто в данный момент на компе залогинился
наконец то сказал.
Конечно, если петров админ зашел, а на сайт нужно зайти как сидоров уборщица.
Ваше право.
3 окт 19, 12:58    [21985783]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
Korcar
Member

Откуда:
Сообщений: 7899
PetroNotC Sharp
Korcar
не-не-не. в веб-системах пока пароль не введешь никакие роли АД автоматом не работают, поэтому связку логин-пароль надо ручками вводить в обязаловку
разуверьте меня.
Я про роли спрашиваю?

да, ты про роли спрашиваешь:
PetroNotC Sharp
нааример, роль admins, user petro.



PetroNotC Sharp
Почему нельзя по логину вошедшему в AD зайти на ваш сайт не вводя второй раз?

потому что на мой сайт может войти не тот, кто вошел в комп - такая вот заковыка
3 окт 19, 13:03    [21985792]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
Korcar
Member

Откуда:
Сообщений: 7899
andreykaT
гугли слова spring security ldap active directory example
вот по ходу самый простой:
https://medium.com/@viraj.rajaguru/how-to-use-spring-security-to-authenticate-with-microsoft-active-directory-1caff11c57f2

незаинсталлен у меня тут спринг. дальше есть смысл ссыль смотреть?
3 окт 19, 13:04    [21985793]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2089
Korcar
потому что на мой сайт может войти не тот, кто вошел в комп - такая вот заковыка
да. Понял я. Ты просто позже это написал.
Тогда зачем вообще привязка к АД если входит другой? В винде он не хочет перелогиниться?
Сделай вообще отдельно от АД.
3 окт 19, 13:11    [21985808]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
Korcar
Member

Откуда:
Сообщений: 7899
PetroNotC Sharp
Korcar
потому что на мой сайт может войти не тот, кто вошел в комп - такая вот заковыка
да. Понял я. Ты просто позже это написал.
Тогда зачем вообще привязка к АД если входит другой? В винде он не хочет перелогиниться?
Сделай вообще отдельно от АД.

это еще больший борщ. придется шувалить шифрование паролей, контроль периодов их смены, контроль сложности и неповторяемости .. короче, надо просто запретить вход анонимусам. разве это так сложно? В фреймворках это вообще одна галочка, а в такой провереной временем технологии нет простого решения? Не бывает такого
3 окт 19, 13:17    [21985817]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
lleming
Member

Откуда:
Сообщений: 1639
Korcar
PetroNotC Sharp
пропущено...
да. Понял я. Ты просто позже это написал.
Тогда зачем вообще привязка к АД если входит другой? В винде он не хочет перелогиниться?
Сделай вообще отдельно от АД.

это еще больший борщ. придется шувалить шифрование паролей, контроль периодов их смены, контроль сложности и неповторяемости .. короче, надо просто запретить вход анонимусам. разве это так сложно? В фреймворках это вообще одна галочка, а в такой провереной временем технологии нет простого решения? Не бывает такого


бывает, если есть 5 технологий но ты придумал свою хитромудрую. Поэтому приходя в столовую не надо жаловаться

почему у вас борщ не с макаронами
почему картошка в супе не квадратиками порезана
почему у стула 4 ножки а не 6 для стабильности.
3 окт 19, 13:32    [21985838]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
lleming
Member

Откуда:
Сообщений: 1639
посмотри на вафлю если нужно чтото самодельное
https://github.com/Waffle/waffle
3 окт 19, 13:33    [21985840]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2089
Korcar
это еще больший борщ. придется шувалить шифрование паролей, контроль периодов их смены, контроль сложности и неповторяемости ..

В каком варианте?
1 перелогин в винде и вход без пароля
2 вход по текущему и уточнение прав в личном кабинете.
3 окт 19, 13:51    [21985861]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2089
Korcar
короче, надо просто запретить вход анонимусам. разве это так сложно?
что анонимусы в АД.
У тебя есть вход не анонимуса при логине в Оси. Но тебя не устривает что он войдет? Так? Он же не анонимус.
3 окт 19, 13:53    [21985866]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
Garrick
Member

Откуда: Москва
Сообщений: 2949
Korcar,

Спрашиваешь у пользователя имя и пароль, с этим именем и паролем коннектишся в AD по LDAP, находишь в AD запись этого пользователя. Если всё получилось, пропускаешь пользователя дальше. Если нет, говоришь "Имя или пароль неправильные", ну и т.п.

https://docs.oracle.com/javase/jndi/tutorial/ldap/security/ldap.html

Простой пример
import java.util.Hashtable;

import javax.naming.AuthenticationException;
import javax.naming.Context;
import javax.naming.NamingException;
import javax.naming.directory.DirContext;
import javax.naming.directory.InitialDirContext;

public class SimpleLdapAuthentication
{
	public static void main(String[] args)
	{
		String username = "user";
		String password = "password";
		String base = "ou=People,dc=objects,dc=com,dc=au";
		String dn = "uid=" + username + "," + base;
		String ldapURL = "ldap://ldap.example.com:389";

		// Setup environment for authenticating
		
		Hashtable<String, String> environment = 
			new Hashtable<String, String>();
		environment.put(Context.INITIAL_CONTEXT_FACTORY,
				"com.sun.jndi.ldap.LdapCtxFactory");
		environment.put(Context.PROVIDER_URL, ldapURL);
		environment.put(Context.SECURITY_AUTHENTICATION, "simple");
		environment.put(Context.SECURITY_PRINCIPAL, dn);
		environment.put(Context.SECURITY_CREDENTIALS, password);

		try
		{
			DirContext authContext = 
				new InitialDirContext(environment);
			
			// user is authenticated
			
		}
		catch (AuthenticationException ex)
		{
			
			// Authentication failed

		}
		catch (NamingException ex)
		{
			ex.printStackTrace();
		}
	}
}


никаких спрингов, никакой магии...
3 окт 19, 15:15    [21985949]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
andreykaT
Member

Откуда:
Сообщений: 2421
PetroNotC Sharp
Korcar
не-не-не. в веб-системах пока пароль не введешь никакие роли АД автоматом не работают, поэтому связку логин-пароль надо ручками вводить в обязаловку
разуверьте меня.
Я про роли спрашиваю?
Почему нельзя по логину вошедшему в AD зайти на ваш сайт не вводя второй раз?

потому что там надо плясать с бубном вокруг браузера или то что называтеся браузером ие.
3 окт 19, 15:43    [21985976]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
andreykaT
Member

Откуда:
Сообщений: 2421
Korcar
andreykaT
гугли слова spring security ldap active directory example
вот по ходу самый простой:
https://medium.com/@viraj.rajaguru/how-to-use-spring-security-to-authenticate-with-microsoft-active-directory-1caff11c57f2

незаинсталлен у меня тут спринг. дальше есть смысл ссыль смотреть?

а сорян, мне чот показалось ты на спринге приложеньку шатаешь. значит тебе не подойдет.
3 окт 19, 15:44    [21985978]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2089
andreykaT
потому что там надо плясать с бубном вокруг браузера или то что называтеся браузером ие.
ссылку с интересом почитаю.
3 окт 19, 16:12    [21986009]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
Korcar
Member

Откуда:
Сообщений: 7899
Garrick, благодарствую! ответ по делу и никаких гвоздей. обязательно воспользуюсь!
4 окт 19, 11:47    [21986587]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: 1 2      [все]
Все форумы / Java Ответить