LDAP认证
10.1. 综述
LDAP通常被公司用作用户信息的中心资源库,同时也被当作一种认证服务。 它也可以为应用用户储存角色信息。
这里有很多如何对LDAP服务器进行配置的场景,所以Spring Security的LDAP提供器也是完全可配置的。 它使用为验证和角色检测提供了单独的策略接口,并提供了默认的实现,这些都是可配置成处理绝大多数情况。
你还是应该熟悉一下LDAP,在你在Spring Security使用它之前。 下面的链接提供了很好的概念介绍,也是一个使用免费的LDAP服务器建立一个目录http://www.zytrax.com/books/ldap/的指南。 我们也应该熟悉一下通过JNDI API使用java访问LDAP。 我们没有在LDAP提供器里使用任何第三方LDAP库(Mozilla, JLDAP等等),但是还是用到了Spring LDAP,所以如果你希望自己进行自定义,对这个工程熟悉一下也是有好处的。
10.2. 在Spring Security里使用LDAP
Spring Security的LDAP认证可以粗略分成以下几部分。
1.
从登录名中获得唯一的“辨别名称”或DN。 这就意味着要对目录执行搜索,除非预先知道了用户名和DN之前的明确映射关系。
2.
验证这个用户,进行绑定用户,或调用远程“比较”操作,比对用户的密码和DN在目录入口中的密码属性。
3.
为这个用户读取权限队列。
例外情况是,当LDAP目录只是用来检索用户信息和进行本地验证的时候,这也许不可能的,因为目录的属性,比如对用户密码属性,常常被设置成只读权限。
让我们看看下面的一些配置场景。 要是想得到所有可用的配置选项,请参考安全命名空间结构(使用你的XML编辑器应该就可以看到所有有效信息)。
10.3. 配置LDAP服务器
你需要做的第一件事是配置服务器,它里面应该存放着认证信息。 这可以使用安全命名空间里的<ldap-server>元素实现。 使用url属性指向一个外部LDAP服务器:
<ldap-server url="ldap://springframework.org:389/dc=springframework,dc=org" />
10.3.1. 使用嵌入测试服务器
这个<ldap-server>元素也可以用来创建一个嵌入服务器,这在测试和演示的时候特别有用。 在这种情况,你不需要使用url属性:
<ldap-server root="dc=springframework,dc=org"/>
这里我们指定目录的根DIT应该是“dc=springframework,dc=org”,这是默认的。 使用这种方式,命名空间解析器会建立一个嵌入Apache目录服务器,然后检索classpath下的LDIF文件,尝试从它里边把数据加载到服务器里。 你可以通过ldif属性自定义这些行为,这样可以定义具体要加载哪个LDIF资源:
<ldap-server ldif="classpath:users.ldif" />
这就让启动和运行LDAP变得更轻松了,因为使用一个外部服务器还是不大方便。 它也避免链接到Apache目录服务器的复杂bean配置。 如果使用普通Spring bean配置方法会变的更加混乱。 你必须把必要的Apache目录依赖的jar放到你的程序中。 这些都可以从LDAP示例程序中获得。
10.3.2. 使用绑定认证
这是一个非常常见的LDAP认证场景。
<ldap-authentication-provider user-dn-pattern="uid={0},ou=people"/>
这个很简单的例子可以根据用户登录名提供的模式为用户获得DN,然后尝试和用户的登录密码进行绑定。 如果所有用户都保存到一个目录的单独节点下就没有问题。 如果你想配置一个LDAP搜索过滤器来定位用户,你可以使用如下配置:
<ldap-authentication-provider user-search-filter="(uid={0})" user-search-base="ou=people"/>
如果使用了上面的服务器定义,它会在DNou=people,dc=springframework,dc=org下执行搜索,使用user-search-filter里的值作为过滤条件。 然后把用户登录名作为过滤名称的一个参数。 如果没有提供user-search-base,搜索将从根开始。
10.3.3. 读取授权
如果从LDAP目录的组里读取权限信息呢,这是通过下面的属性控制的。
*
group-search-base。定义目录树部分,哪个组应该执行搜索。
*
group-role-attribute。这个属性包含了组入口中定义的权限名称。默认是 cn
*
group-search-filter。这个过滤器用来搜索组的关系。 默认是uniqueMember={0},对应于groupOfUniqueMembersLDAP类。 在这情况下,取代参数是用户的辨别名称。 如果你想对登录名搜索,可以使用{1}这个参数。
因此,如果我们使用下面进行配置
<ldap-authentication-provider user-dn-pattern="uid={0},ou=people" group-search-base="ou=groups" />
并以用户“ben”的身份通过认证,在读取权限信息的子流程里,要在目录入口ou=groups,dc=springframework,dc=org下执行搜索,查找包含uniqueMember属性值为ou=groups,dc=springframework,dc=org的入口。 默认,权限名都要以ROLE_作为前缀。 你可以使用role-prefix属性修改它。 如果你不想使用任何前缀,可以使用role-prefix="none"。 要想得到更多读取权限的信息,可以查看DefaultLdapAuthoritiesPopulator类的Javadoc。
10.4. 实现类
我们上面使用到的命名空间选项很容易使用,也比使用spring bean更准确。 也有可能你需要知道如何配置在你的application context里配置Spring Security LDAP目录。 比如,你可能想自定义一些类的行为。 如果你想使用命名空间配置,你可以跳过这节,直接进入下一段。
最主要的LDAP提供器类是org.springframework.security.providers.ldap.LdapAuthenticationProvider。 这个bean自己没做什么事情,而是代理了其他两个bean的工作,一个是LdapAuthenticator,一个是LdapAuthoritiesPopulator,用来处理用户认证和检索用户的GrantedAuthority属性集合。
10.4.1. LdapAuthenticator实现
验证者还负责检索所有需要的用户属性。 这是因为对于属性的授权可能依赖于使用的验证类型 比如,如果对某个用户进行绑定,它也许必须通过用户自己的授权才能进行读取。
当前Spring Security提供两种验证策略:
*
直接去LDAP服务器验证(“绑定”验证)。
*
比较密码,将用户提供的密码与资源库中保存的进行比较。 这可以通过检索密码属性的值并在本地检测,或者执行LDAP“比较”操作,提供用来比较的密码是从服务器获得的,绝对不会检索真实密码的值。
10.4.1.1. 常用功能
在认证一个用户之前(使用任何一个策略),辨别名称(DN)必须从系统提供的登录名中获得。 这可以通过,简单的模式匹配(设置setUserDnPatterns数组属性)或者设置userSearch属性。 为了实现DN模式匹配方法,一个标准的java模式格式被用到了,登录名将被参数{0}替代。 这个模式应该和DN有关系,并绑定到配置好的SpringSecurityContextSource(看看链接到LDAP服务器那节,获得更多信息)。 比如,如果你使用了LDAP服务的URL是ldap://monkeymachine.co.uk/dc=springframework,dc=org,并有一个模式uid={0},ou=greatapes,然后登录名"gorilla"会映射到DNuid=gorilla,ou=greatapes,dc=springframework,dc=org。 每个配置好的DN模式将尝试进行定位,直到有一个匹配上。 使用搜索获得信息,看看下面的安全对象那节。 两种方式也可以结合在一起使用 - 模式会先被检测一下,然后如果没有找到匹配的DN,就会使用搜索。
10.4.1.2. BindAuthenticator
这个类 org.springframework.security.providers.ldap.authenticator.BindAuthenticator 实现了绑定认证策略。 它只是尝试对用户进行绑定。
10.4.1.3. PasswordComparisonAuthenticator
这个类 org.springframework.security.providers.ldap.authenticator.PasswordComparisonAuthenticator 实现了密码比较认证策略。
10.4.1.4. 活动目录认证
除了标准LDAP认证以外(绑定到一个DN),活动目录对于用户认证提供了自己的非标准语法。
10.4.2. 链接到LDAP服务器
上面讨论的bean必须连接到服务器。 它们都必须使用SpringSecurityContextSource,这个是Spring LDAP的一个扩展。 除非你有特定的需求,你通常只需要配置一个DefaultSpringSecurityContextSource bean,这个可以使用你的LDAP服务器的URL进行配置,可选项还有管理员用户的用户名和密码,这将默认用在绑定服务器的时候(而不是匿名绑定)。 参考Spring LDAP的AbstractContextSource类的Javadoc获得更多信息。
10.4.3. LDAP搜索对象
通常,比简单DN匹配越来越复杂的策略需要在目录里定位一个用户入口。 这可以使用LdapUserSearch的一个示例,它可以提供认证者实现,比如让他们定位一个用户。 提供的实现是FilterBasedLdapUserSearch。
10.4.3.1. FilterBasedLdapUserSearch
这个bean使用一个LDAP过滤器,来匹配目录里的用户对象。 这个过程在javadoc里进行过解释,在对应的搜索方法,JDK DirContext class。 就如那里解释的,搜索过滤条件可以通过方法指定。 对于这个类,唯一合法的参数是{0},它会代替用户的登录名。
10.4.4. LdapAuthoritiesPopulator
在成功认证用户之后,LdapAuthenticationProvider会调用配置好的LdapAuthoritiesPopulator bean,尝试读取用户的授权集合。 这个DefaultLdapAuthoritiesPopulator是一个实现类,它将通过搜索目录读取授权,查找用户成员所在的组(典型的这会是目录中的groupOfNames或groupOfUniqueNames入口)。 查看这个类的Javadoc获得它如何工作的更多信息。
10.4.5. Spring Bean配置
典型的配置方法,使用到像我们这在里讨论的这些bean,就像这样:
<bean id="contextSource"
class="org.springframework.security.ldap.DefaultSpringSecurityContextSource">
<constructor-arg value="ldap://monkeymachine:389/dc=springframework,dc=org"/>
<property name="userDn" value="cn=manager,dc=springframework,dc=org"/>
<property name="password" value="password"/>
</bean>
<bean id="ldapAuthProvider"
class="org.springframework.security.providers.ldap.LdapAuthenticationProvider">
<constructor-arg>
<bean class="org.springframework.security.providers.ldap.authenticator.BindAuthenticator">
<constructor-arg ref="contextSource"/>
<property name="userDnPatterns">
<list><value>uid={0},ou=people</value></list>
</property>
</bean>
</constructor-arg>
<constructor-arg>
<bean class="org.springframework.security.ldap.populator.DefaultLdapAuthoritiesPopulator">
<constructor-arg ref="contextSource"/>
<constructor-arg value="ou=groups"/>
<property name="groupRoleAttribute" value="ou"/>
</bean>
</constructor-arg>
</bean>
这里建立了一个提供器,访问LDAP服务,URL是 ldap://monkeymachine:389/dc=springframework,dc=org。 认证会被执行,尝试绑定这个DN uid=<user-login-name>,ou=people,dc=springframework,dc=org。 在成功认证之后,会通过查找下面的DN ou=groups,dc=springframework,dc=org 使用默认的过滤条件 (member=<user's-DN>),将角色分配给用户。 角色名会通过每个匹配的“ou”属性获得。
要配置用户的搜索对象,使用过滤条件 (uid=<user-login-name>) 替代DN匹配(或附加到它上面),你需要配置下面的bean
<bean id="userSearch"
class="org.springframework.security.ldap.search.FilterBasedLdapUserSearch">
<constructor-arg index="0" value=""/>
<constructor-arg index="1" value="(uid={0})"/>
<constructor-arg index="2" ref="contextSource" />
</bean>
并使用它,设置认证者的userSearch属性。 这个认证者会调用搜索对象,在尝试绑定到用户之前获得正确的用户DN。
10.4.6. LDAP属性和自定义UserDetails
使用LdapAuthenticationProvider进行认证的结果,和使用普通Spring Security认证一样,都要使用标准UserDetailsService接口。 它会创建一个UserDetails对象,并保存到返回的Authentication对象里。 在使用UserDetailsService时,常见的需求是可以自定义这个实现,添加额外的属性。 在使用LDAP的时候,这些基本都来自用户入口的属性。 UserDetails对象的创建结果被提供者的UserDetailsContextMapper策略控制,它负责在用户对象和LDAP环境数据之间进行映射:
public interface UserDetailsContextMapper {
UserDetails mapUserFromContext(DirContextOperations ctx, String username, GrantedAuthority[] authority);
void mapUserToContext(UserDetails user, DirContextAdapter ctx);
}
只有第一个方法与认证有关。 如果你提供这个接口的实现,你可以精确控制如何创建UserDetails对象。 第一个参数是Spring LDAP的DirContextOperations实例,他给你访问加载的LDAP属性的通道。 username参数是用来认证的名字,最后一个参数是从用户加载的授权列表。]
环境数据加载的方式不同,视乎你采用的认证方法。 使用BindAuthenticatior,从绑定操作返回的环境会用来读取属性,否则数据会通过标准的环境,从配置好的ContextSource获得(当测试配置好定位用户,这会从搜索对象中获得数据)。