Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Java Новый топик    Ответить
Топик располагается на нескольких страницах: [1] 2   вперед  Ctrl      все
 Авторизация Active Directory  [new]
Korcar
Member

Откуда:
Сообщений: 7899
Всем привет

Простой вопрос: как сделать доступ к веб-приложению только авторизованным пользователям? То есть учетка пользователя не включается ни в какие группы ActiveDirectory, но ввод пароля и авторизация обязательная для всех и, соответственно, все авторизованные пользователи могут войти в приложение (JSP/Tomcat)


Раньше для ограничения доступа прописывал в web.xml проекта путь до группы AD, которая используется в качестве индикатора для предоставления доступа.
<auth-constraint>
  <role-name></role-name>
</auth-constraint>
...
<security-role>
  <role-name></role-name>
</security-role>

Но теперь конкретной группы нет. И фиг знает что тут вписывать
3 окт 19, 09:44    [21985563]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2144
Korcar
Простой вопрос: как сделать доступ к веб-приложению только авторизованным пользователям?
вин аутентификация + керберос?
Клиент в домене и входит через ослик на ваш сайт без пароля. Так?
3 окт 19, 09:56    [21985566]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
andreykaT
Member

Откуда:
Сообщений: 2421
PetroNotC Sharp
Korcar
Простой вопрос: как сделать доступ к веб-приложению только авторизованным пользователям?
вин аутентификация + керберос?
Клиент в домене и входит через ослик на ваш сайт без пароля. Так?

да не. чел хочет чтоб логин пароль на сайте в формочке вбивались и бэк с ними ходил в АД, подгребал оттуда юзера и его группы и говорил можно не можно.
3 окт 19, 10:56    [21985622]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2144
andreykaT,
Ждем ТС. Что же он так долго думает.
3 окт 19, 10:58    [21985626]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2144
andreykaT
да не. чел хочет чтоб логин пароль на сайте в формочке вбивались и бэк с ними ходил в АД, подгребал оттуда юзера и его группы и говорил можно не можно.
сам чел в домене или нет?
3 окт 19, 10:59    [21985628]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
asv79
Member

Откуда: Тверь
Сообщений: 2543
Spring Security
3 окт 19, 10:59    [21985629]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2144
asv79
Spring Security
а без спринг?
3 окт 19, 11:01    [21985634]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
Korcar
Member

Откуда:
Сообщений: 7899
PetroNotC Sharp
andreykaT,
Ждем ТС. Что же он так долго думает.

товарищи, ну так обед же.

вариант с установкой новых инструментов типа фреймворков и использования дополнительных протоколов немножко не подходит. Вроде как вещь то простая

Андрюшка меня правильно понял: при первом входе в веб-приложение пользователь должен ввести логин пароль и тем самым авторизоваться. То есть конкретных групп доступа в AD для этого приложения нет (доступ у всех пользователей имеющих учетки в AD), но возможность анонимного входа надо как бы исключить
3 окт 19, 11:31    [21985656]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
asv79
Member

Откуда: Тверь
Сообщений: 2543
PetroNotC Sharp
asv79
Spring Security
а без спринг?

а что ест такие веб проекты без спринг?неужто на сервлетах )))
3 окт 19, 11:40    [21985667]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2144
Korcar
Андрюшка меня правильно понял: при первом входе в веб-приложение пользователь должен ввести логин пароль и тем самым авторизоваться. То есть конкретных групп доступа в AD для этого приложения нет (доступ у всех пользователей имеющих учетки в AD), но возможность анонимного входа надо как бы исключить

Уточняю.
При вхоле в Ось в домен не входишь? Так?
Это еще до запуска ослика набора урл к тебе.
2. Но роль и логин в AD есть, иначе вообще не войти.
Так?
3 окт 19, 11:42    [21985670]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2144
asv79,
Веб сервер +керберос
3 окт 19, 11:43    [21985672]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
Korcar
Member

Откуда:
Сообщений: 7899
PetroNotC Sharp
Korcar
Андрюшка меня правильно понял: при первом входе в веб-приложение пользователь должен ввести логин пароль и тем самым авторизоваться. То есть конкретных групп доступа в AD для этого приложения нет (доступ у всех пользователей имеющих учетки в AD), но возможность анонимного входа надо как бы исключить

Уточняю.
При вхоле в Ось в домен не входишь? Так?
Это еще до запуска ослика набора урл к тебе.
2. Но роль и логин в AD есть, иначе вообще не войти.
Так?

При входе в Ось в домен входишь
Это еще до запуска браузера - да. Браузер не обязательно будет ослик
Учетка в АД есть, но может быть абсолютно голая, то есть не включена ни в одну доменную группу, тем не менее к приложению доступ иметь должна после ввода логина и пароля владельцем этой учетки
Как-то так
3 окт 19, 12:01    [21985693]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2144
Korcar
При входе в Ось в домен входишь
нааример, роль admins, user petro.
Вопрос. Почему по этому логину автоматом не входить БЕЗ ФОРМЫ ВХОДА.
А внутри дополнительно спроси или личный кабинет?
3 окт 19, 12:09    [21985702]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
andreykaT
Member

Откуда:
Сообщений: 2421
PetroNotC Sharp
asv79
Spring Security
а без спринг?

Юзай голый лдап кто тебе запретит? Но в спринге лдап это пара строк
3 окт 19, 12:17    [21985709]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
andreykaT
Member

Откуда:
Сообщений: 2421
Korcar
PetroNotC Sharp
пропущено...

Уточняю.
При вхоле в Ось в домен не входишь? Так?
Это еще до запуска ослика набора урл к тебе.
2. Но роль и логин в AD есть, иначе вообще не войти.
Так?

При входе в Ось в домен входишь
Это еще до запуска браузера - да. Браузер не обязательно будет ослик
Учетка в АД есть, но может быть абсолютно голая, то есть не включена ни в одну доменную группу, тем не менее к приложению доступ иметь должна после ввода логина и пароля владельцем этой учетки
Как-то так

Где пароль вводить то?) в браузере??
3 окт 19, 12:18    [21985711]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
Korcar
Member

Откуда:
Сообщений: 7899
PetroNotC Sharp
Korcar
При входе в Ось в домен входишь
нааример, роль admins, user petro.
Вопрос. Почему по этому логину автоматом не входить БЕЗ ФОРМЫ ВХОДА.
А внутри дополнительно спроси или личный кабинет?

не-не-не. в веб-системах пока пароль не введешь никакие роли АД автоматом не работают, поэтому связку логин-пароль надо ручками вводить в обязаловку

вход в домен - это значит, что на твой профиль в компе, с которого заходишь, сразу накатываются доменные политики и проходит виндовая авторизация в системах, которые её поддерживают (при первом обращении без ввода пароля), но это не наш случай
3 окт 19, 12:21    [21985720]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
Korcar
Member

Откуда:
Сообщений: 7899
andreykaT
Korcar
пропущено...

При входе в Ось в домен входишь
Это еще до запуска браузера - да. Браузер не обязательно будет ослик
Учетка в АД есть, но может быть абсолютно голая, то есть не включена ни в одну доменную группу, тем не менее к приложению доступ иметь должна после ввода логина и пароля владельцем этой учетки
Как-то так

Где пароль вводить то?) в браузере??

да. в браузере при входе в веб-приложение. раньше при ограничении доступа 1-2 группами АД они прописывались в web.xml проекта, и веб-приложение в любом случае запрашивала пароль на вход, чтобы проверить вхождение введённой учетки в эти группы, а теперь групп нет, но авторизация нужна (виндовая не поддерживается, да и войти может не только тот чел, кто в данный момент на компе залогинился)
Где веб-проекту JSP-шному выставить флажок: всегда спрашивать логин-пароль юзера? - в этом вопрос

Ибо надо бы прочитать само имя учетки, подгрузить фио, телефон, мыло из AD
3 окт 19, 12:27    [21985728]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
andreykaT
Member

Откуда:
Сообщений: 2421
гугли слова spring security ldap active directory example
вот по ходу самый простой:
https://medium.com/@viraj.rajaguru/how-to-use-spring-security-to-authenticate-with-microsoft-active-directory-1caff11c57f2
3 окт 19, 12:34    [21985742]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2144
Korcar
не-не-не. в веб-системах пока пароль не введешь никакие роли АД автоматом не работают, поэтому связку логин-пароль надо ручками вводить в обязаловку
разуверьте меня.
Я про роли спрашиваю?
Почему нельзя по логину вошедшему в AD зайти на ваш сайт не вводя второй раз?
3 окт 19, 12:51    [21985766]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2144
andreykaT
Юзай голый лдап кто тебе запретит? Но в спринге лдап это пара строк
я говорил о настройке веб сервера на керберос а не голом ldap. Это же не спринг.
3 окт 19, 12:53    [21985771]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2144
andreykaT,

автор
Существует четыре компонента конфигурации встроенной поддержки Tomcat для проверки подлинности Windows.

Это спринг?
3 окт 19, 12:56    [21985778]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2144
Korcar
виндовая не поддерживается, да и войти может не только тот чел, кто в данный момент на компе залогинился
наконец то сказал.
Конечно, если петров админ зашел, а на сайт нужно зайти как сидоров уборщица.
Ваше право.
3 окт 19, 12:58    [21985783]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
Korcar
Member

Откуда:
Сообщений: 7899
PetroNotC Sharp
Korcar
не-не-не. в веб-системах пока пароль не введешь никакие роли АД автоматом не работают, поэтому связку логин-пароль надо ручками вводить в обязаловку
разуверьте меня.
Я про роли спрашиваю?

да, ты про роли спрашиваешь:
PetroNotC Sharp
нааример, роль admins, user petro.



PetroNotC Sharp
Почему нельзя по логину вошедшему в AD зайти на ваш сайт не вводя второй раз?

потому что на мой сайт может войти не тот, кто вошел в комп - такая вот заковыка
3 окт 19, 13:03    [21985792]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
Korcar
Member

Откуда:
Сообщений: 7899
andreykaT
гугли слова spring security ldap active directory example
вот по ходу самый простой:
https://medium.com/@viraj.rajaguru/how-to-use-spring-security-to-authenticate-with-microsoft-active-directory-1caff11c57f2

незаинсталлен у меня тут спринг. дальше есть смысл ссыль смотреть?
3 окт 19, 13:04    [21985793]     Ответить | Цитировать Сообщить модератору
 Re: Авторизация Active Directory  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2144
Korcar
потому что на мой сайт может войти не тот, кто вошел в комп - такая вот заковыка
да. Понял я. Ты просто позже это написал.
Тогда зачем вообще привязка к АД если входит другой? В винде он не хочет перелогиниться?
Сделай вообще отдельно от АД.
3 окт 19, 13:11    [21985808]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: [1] 2   вперед  Ctrl      все
Все форумы / Java Ответить