Spring Security 4.0.0 + ActiveDirectoryLdapAuthenticationProvider + BadCredentialsException PartialResultException更新 2015-04-16 ~10:20

我已经阅读了关于Spring/Security/Ldap和ActiveDirectory关于stackoverflow的几乎所有内容。即使我找到了有用的提示和提示,我也无法解决我的问题。

这里是:我确实使用用户服务和自定义登录页面配置了Spring Security,一切正常。然后,我尝试切换到最终的身份验证提供程序,该提供程序恰好是ActiveDirectory。

这是我的安全应用程序Context.xml(我提醒你这个设置与用户服务作为身份验证提供程序工作正常,所以,文件实际上是导入的,等等):

<?xml version="1.0" encoding="UTF-8"?>
<b:beans xmlns:b="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns="http://www.springframework.org/schema/security"
    xmlns:oauth="http://www.springframework.org/schema/security/oauth"
    xsi:schemaLocation="http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.1.xsd http://www.springframework.org/schema/security/oauth http://www.springframework.org/schema/security/spring-security-oauth.xsd http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.1.xsd">

<!-- Définitions globales de sécurité -->
<global-method-security pre-post-annotations="enabled" />

<!-- Configuration de l'accès et du formulaire -->
<!-- Permettre l'accès libre aux feuilles de style, polices et images -->
<http pattern='/resources/css/**' security="none" />
<http pattern='/resources/fonts/**' security="none" />
<http pattern='/resources/images/**' security="none" />

<http use-expressions="true" access-denied-page="/403" disable-url-rewriting="true">

    <!-- Limitation à une seule session utilisateur concurrente -->
    <session-management invalid-session-url="/identite?time=1">
        <concurrency-control max-sessions="1" expired-url="/identite?time=1" />
    </session-management>

    <!-- Définitions pour le formulaire de la page JSP d'identification -->
    <form-login login-page="/identite" login-processing-url="/identite.proc" default-target-url="/" always-use-default-target="true" authentication-failure-url="/identite?err=1" username-parameter="username" password-parameter="password" />

    <logout logout-url="/logout" logout-success-url="/identite?out=1" delete-cookies="JSESSIONID" invalidate-session="true" />

    <!-- Utiliser un canal chiffré pour les échanges -->
    <intercept-url requires-channel="https" pattern="/identite*" access="permitAll()" />
    <intercept-url requires-channel="https" pattern="/**" access="isAuthenticated()" />
</http>

<!-- Fournisseurs d'identité pour le formulaire (au final, LDAP) -->
<authentication-manager erase-credentials="true">
    <ldap-authentication-provider ref="myADProvider" />
    <!-- This is the user-service authentication provider that is working fine
        <authentication-provider>
        <user-service>
        <user name="Toto" authorities="ROLE_USER, ROLE_ADMIN" password="totototo" />
        </user-service>
        </authentication-provider>
    -->
</authentication-manager>

<b:bean id="myADProvider"
    class="org.springframework.security.ldap.authentication.ad.ActiveDirectoryLdapAuthenticationProvider">
    <b:constructor-arg value="fsappsuni" />
    <b:constructor-arg value="ldap://fsapps.company.uni:389/" />
    <b:property name="convertSubErrorCodesToExceptions" value="true" />
    <b:property name="useAuthenticationRequestCredentials" value="true" />
</b:bean>

在bean myADProvider中,即使我将第一个构造函数参数更改为fsapps.company.uni或company.uni或其他任何内容,它也不会将任何内容更改为以下错误。这个问题似乎是由于绑定后使用错误的过滤器执行搜索,查找类似(&(userPrincipalName={0})(objectClass=user))而不是(&(sAMAccountName={0})(objectClass=user))的东西。由于我无法弄清楚如何更改它,而您可以使用LDAP提供程序执行此操作,因此我切换到LDAP提供程序,试图使其正常工作而不成功,而不会在同一位置偶然发现问题。我还将我的Spring Framework从3.1.2升级到4.1.6.RELEASE和Spring Security从3.1.2升级到4.0.RELEASE后,阅读了ActiveDirectoryLdapAuthenticationProvider的问题,希望这个问题能在最初关于这个问题的讨论与版本3.x同时得到解决。

以下是我对LDAP设置的配置,试图使身份验证与Active Directory一起使用:

<?xml version="1.0" encoding="UTF-8"?>
<b:beans xmlns:b="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns="http://www.springframework.org/schema/security"
    xmlns:oauth="http://www.springframework.org/schema/security/oauth"
    xsi:schemaLocation="http://www.springframework.org/schema/security
    http://www.springframework.org/schema/security/spring-security-4.0.xsd
    http://www.springframework.org/schema/security/oauth
    http://www.springframework.org/schema/security/spring-security-oauth.xsd
    http://www.springframework.org/schema/beans
    http://www.springframework.org/schema/beans/spring-beans-4.1.xsd">

<!-- Définitions globales de sécurité -->
<global-method-security pre-post-annotations="enabled" />

<!-- Configuration de l'accès et du formulaire -->
<!-- Permettre l'accès libre aux feuilles de style, polices et images -->
<http pattern='/resources/css/**' security="none" />
<http pattern='/resources/fonts/**' security="none" />
<http pattern='/resources/images/**' security="none" />

<http use-expressions="true" disable-url-rewriting="true">

    <!-- Limitation à une seule session utilisateur concurrente -->
    <session-management invalid-session-url="/identite?time=1">
        <concurrency-control max-sessions="1" expired-url="/identite?time=1" />
    </session-management>

    <!-- Définitions pour le formulaire de la page JSP d'identification -->
    <form-login login-page="/identite" login-processing-url="/identite.proc" default-target-url="/" always-use-default-target="true" authentication-failure-url="/identite?err=1" username-parameter="username" password-parameter="password" />
    <csrf disabled="true" />

    <logout logout-url="/logout" logout-success-url="/identite?out=1" delete-cookies="JSESSIONID" invalidate-session="true" />

    <!-- Utiliser un canal chiffré pour les échanges -->
    <intercept-url requires-channel="https" pattern="/identite*" access="permitAll()" />
    <intercept-url requires-channel="https" pattern="/**" access="isAuthenticated()" />
</http>

<!-- Fournisseurs d'identité pour le formulaire (au final, LDAP) -->
<ldap-server url="ldap://fsapps.company.uni/dc=fsapps,dc=company,dc=uni" port="389" />
<authentication-manager erase-credentials="true">
    <ldap-authentication-provider role-prefix="none"
        user-search-filter="(&amp;(sAMAccountName={0})(objectClass=user))"
        group-search-filter="(&amp;(member={0})(objectClass=group))"
        user-search-base="dc=fsapps,dc=company,dc=uni">
    </ldap-authentication-provider>
    <!-- <authentication-provider ref="myADProvider" ></authentication-provider> -->
</authentication-manager>

<!--
<b:bean id="myADProvider" class="org.springframework.security.ldap.authentication.ad.ActiveDirectoryLdapAuthenticationProvider">
    <b:constructor-arg value="fsapps.company.uni" />
    <b:constructor-arg value="ldap://fsapps.company.uni:389/" />
    <b:property name="convertSubErrorCodesToExceptions" value="true" />
    <!- -
    <b:property name="useAuthenticationRequestCredentials" value="true" />
    - ->
</b:bean>
<b:bean id="webSecurityExpressionHandler" class="org.springframework.security.web.access.expression.DefaultWebSecurityExpressionHandler"></b:bean>
-->

</b:beans>

这一次,我将 Bean 配置部分留给了 AD 提供程序以供参考。这也不起作用。

那么,如何将用户和组搜索路径传递给 AD 提供程序?或者,如何配置 LDAP 提供程序以使用 AD 并完成身份验证?

以下是我在日志中收到的带有LDAP设置的消息,AD设置在上面进行了说明(错误的凭据基本上是由于错误的搜索路径造成的):

2015-04-15 16:19:13,252 DEBUG (o.s.s.a.ProviderManager.authenticate) [http-8443-1] Authentication attempt using org.springframework.security.ldap.authentication.LdapAuthenticationProvider MDC{}
2015-04-15 16:19:13,252 DEBUG (o.s.s.l.a.AbstractLdapAuthenticationProvider.authenticate) [http-8443-1] Processing authentication request for user: ba5glag MDC{}
2015-04-15 16:19:13,252 DEBUG (o.s.s.l.s.FilterBasedLdapUserSearch.searchForUser) [http-8443-1] Searching for user 'myuser', with user search [ searchFilter: '(&(sAMAccountName={0})(objectClass=user))', searchBase: 'dc=fsapps,dc=company,dc=uni', scope: subtree, searchTimeLimit: 0, derefLinkFlag: false ] MDC{}
2015-04-15 16:19:13,299 DEBUG (o.s.s.a.DefaultAuthenticationEventPublisher.publishAuthenticationFailure) [http-8443-1] No event was found for the exception org.springframework.security.authentication.InternalAuthenticationServiceException MDC{}
2015-04-15 16:19:13,299 ERROR (o.s.s.w.a.AbstractAuthenticationProcessingFilter.doFilter) [http-8443-1] An internal error occurred while trying to authenticate the user. MDC{}
org.springframework.security.authentication.InternalAuthenticationServiceException: Uncategorized exception occured during LDAP processing; nested exception is javax.naming.NamingException: [LDAP: error code 1 - 00000000: LdapErr: DSID-0C090627, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, vece(unprintable character here)]; remaining name 'dc=fsapps,dc=company,dc=uni'
        at org.springframework.security.ldap.authentication.LdapAuthenticationProvider.doAuthentication(LdapAuthenticationProvider.java:207) ~[spring-security-ldap-4.0.0.RELEASE.jar:?]
        at org.springframework.security.ldap.authentication.AbstractLdapAuthenticationProvider.authenticate(AbstractLdapAuthenticationProvider.java:82) ~[spring-security-ldap-4.0.0.RELEASE.jar:?]

我希望我提供所有必需的信息,以便有人提供一些提示和指导来解决此配置问题。

更新 2015-04-16 ~10:20

我想出了如何使用ActiveDirectoryLdapAuthenticationProvider添加搜索过滤器。我还用Wireshark观察了我的应用程序服务器和AD服务器之间的交换,看看实际做了什么。这是我的发现,我相信我离解决我的问题不远了。我更新的安全应用程序Context.xml,我已经抛弃了ldap服务器的东西,因为我现在专注于使ActiveDirectoryLdapAuthenticationProvider工作。因此,现在这是一个更干净的配置,可以读取:

<?xml version="1.0" encoding="UTF-8"?>
<b:beans xmlns:b="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns="http://www.springframework.org/schema/security"
    xmlns:oauth="http://www.springframework.org/schema/security/oauth"
    xsi:schemaLocation="http://www.springframework.org/schema/security
    http://www.springframework.org/schema/security/spring-security-4.0.xsd
    http://www.springframework.org/schema/security/oauth
    http://www.springframework.org/schema/security/spring-security-oauth.xsd
    http://www.springframework.org/schema/beans
    http://www.springframework.org/schema/beans/spring-beans-4.1.xsd">

    <!-- Définitions globales de sécurité -->
    <global-method-security pre-post-annotations="enabled" />

    <!-- Configuration de l'accès et du formulaire -->
    <!-- Permettre l'accès libre aux feuilles de style, polices et images -->
    <http pattern='/resources/css/**' security="none" />
    <http pattern='/resources/fonts/**' security="none" />
    <http pattern='/resources/images/**' security="none" />
    <http pattern='/resources/js/**' security="none" />

    <http use-expressions="true" disable-url-rewriting="true">

        <!-- Limitation à une seule session utilisateur concurrente -->
        <session-management invalid-session-url="/identite?expiree=1">
            <concurrency-control max-sessions="1" expired-url="/identite?expiree=1" />
        </session-management>

        <!-- Définitions pour le formulaire de la page JSP d'identification -->
        <form-login login-page="/identite" login-processing-url="/identite.proc" default-target-url="/" always-use-default-target="true" authentication-failure-url="/identite?err=1" username-parameter="username" password-parameter="password" />
        <csrf disabled="true" />

        <logout logout-url="/logout" logout-success-url="/identite?termine=1" delete-cookies="JSESSIONID" invalidate-session="true" />

        <!-- Utiliser un canal chiffré pour les échanges -->
        <intercept-url requires-channel="https" pattern="/identite*" access="permitAll()" />
        <intercept-url requires-channel="https" pattern="/**" access="isAuthenticated()" />
        <access-denied-handler error-page="/erreur403" />
    </http>

    <!-- Fournisseurs d'identité pour le formulaire (au final, LDAP) -->
    <authentication-manager erase-credentials="true">
         <authentication-provider ref="myADProvider" />
    </authentication-manager>

    <b:bean id="myADProvider" class="org.springframework.security.ldap.authentication.ad.ActiveDirectoryLdapAuthenticationProvider">
        <b:constructor-arg value="fsapps.company.uni" />
        <b:constructor-arg value="ldap://fsapps.company.uni:389/" />
        <b:property name="searchFilter" value="(&amp;(sAMAccountName={0})(objectClass=user))" />
        <b:property name="convertSubErrorCodesToExceptions" value="true" />
        <b:property name="useAuthenticationRequestCredentials" value="true" />
    </b:bean>
    <b:bean id="webSecurityExpressionHandler" class="org.springframework.security.web.access.expression.DefaultWebSecurityExpressionHandler" />

</b:beans>

对配置的评论很少。在 myADProvider bean 定义中,构造函数的第一个参数 fsapps.company.uni 用于以 username@fsapps.company.uni 的形式创建主体,并为搜索请求构建基对象,其形式为:dc=fsapps,dc=company,dc=uni。

第二个构造函数的参数用于建立通信。属性类型的下一个元素 name=“searchFilter” 将调用类 ActiveDirectoryLdapAuthenticationProvider 的 setSearchFilter() 方法来设置搜索筛选器(这是我最初想要取得一些进展的方法)。因此,它现在设置为搜索(&(sAMAccountName={0})(objectClass=user))。

通过这种设置,我可以在WireShark中看到LDAP对话和绑定成功。绑定响应为成功。接下来,搜索请求也会成功,但不返回任何结果。因此,我仍然在我的日志中得到以下内容:

2015-04-16 10:30:28,201 DEBUG (o.s.s.a.ProviderManager.authenticate) [http-8443-2] Authentication attempt using org.springframework.security.ldap.authentication.ad.ActiveDirectoryLdapAuthenticationProvider MDC{}
2015-04-16 10:30:28,201 DEBUG (o.s.s.l.a.AbstractLdapAuthenticationProvider.authenticate) [http-8443-2] Processing authentication request for user: myusername MDC{}
2015-04-16 10:30:28,294 DEBUG (o.s.s.l.SpringSecurityLdapTemplate.searchForSingleEntryInternal) [http-8443-2] Searching for entry under DN '', base = 'dc=fsapps,dc=company,dc=uni', filter = '(&(sAMAccountName={0})(objectClass=user))' MDC{}
2015-04-16 10:30:28,294 INFO (o.s.s.l.SpringSecurityLdapTemplate.searchForSingleEntryInternal) [http-8443-2] Ignoring PartialResultException MDC{}
2015-04-16 10:30:28,310 DEBUG (o.s.s.w.a.AbstractAuthenticationProcessingFilter.unsuccessfulAuthentication) [http-8443-2] Authentication request failed: org.springframework.security.authentication.BadCredentialsException: Bad credentials MDC{}
2015-04-16 10:30:28,310 DEBUG (o.s.s.w.a.AbstractAuthenticationProcessingFilter.unsuccessfulAuthentication) [http-8443-2] Updated SecurityContextHolder to contain null Authentication MDC{}
2015-04-16 10:30:28,310 DEBUG (o.s.s.w.a.AbstractAuthenticationProcessingFilter.unsuccessfulAuthentication) [http-8443-2] Delegating to authentication failure handler org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler@2876b359 MDC{}

我相信我差不多了,但如果有人可以提供任何帮助,我仍然可以使用一点帮助。经过仔细检查,似乎第一个构造函数的参数用于构造基对象和用户原则名称是我的问题。在我们的设置中,userPrincipalName 使用的域名不是 LDAP URL 中的域名(即 campus.company.com)。到目前为止,一切顺利,我可以更改参数以匹配我们用于构建用户主体的域名。现在,问题是这将改变必须与LDAP URL的模式匹配的基本对象(即fsapps.company.uni)。

从文档中可以看出,只有一种方法可以设置搜索筛选器,但是构造函数可以使用一个、两个或三个参数。第三个参数是提供 baseObject 值。

然后,我的问题通过以下配置来解决,我必须使用所有可用的 setter 和构造函数的参数来使其正常工作。myADProvider bean 定义如下:

    <b:bean id="myADProvider" class="org.springframework.security.ldap.authentication.ad.ActiveDirectoryLdapAuthenticationProvider">
        <b:constructor-arg value="campus.company.com" />
        <b:constructor-arg value="ldap://fsapps.company.uni:389/" />
        <b:constructor-arg value="dc=fsapps,dc=company,dc=uni" />
        <b:property name="searchFilter" value="(&amp;(userPrincipalName={0})(objectClass=user))" />
        <b:property name="convertSubErrorCodesToExceptions" value="true" />
    </b:bean>

在我的情况下,由于我回退了默认值,因此现在可以省略 searchFilter 属性。尽管对我的设置和问题进行了很长的描述。我希望其他人可以从中受益。

下面是 ActiveDirectorLdapAuthenticationProvider 类文档的链接:http://docs.spring.io/autorepo/docs/spring-security/4.0.0.RELEASE/apidocs/org/springframework/security/ldap/authentication/ad/ActiveDirectoryLdapAuthenticationProvider.html

我发现WireShark非常有助于了解应用程序服务器和AD服务器之间发生了什么来调试这个问题。


答案 1

我无法使用 Context.REFERRAL = “follow” 来解决这个问题,事实上,问题在于类 ActiveDirectoryLdapProvider 的方法 searchForUser() 的代码。在此方法中,方法SpringSecurityLdapTemplate.searchForSingleEntryInternal()使用bindPrincipal调用,该方法实际上是由第一个参数中传递给构造函数的参数和用户名组成的userPrincipalName。因此,即使您将搜索筛选器设置为 userPrincipalName 以外的任何其他名称,它也将作为参数 0 传递 userPrincipalName。因此,具有 sAMAccountName 的筛选器将不适用于 UPN 并引发异常。

应修改或扩充 searchForUser() 以检测 searchFilter 需要用户名而不是 UPN,要么提供额外的 setter 来使用 searchFilter 的模式来设置参数。

但是,如果不修改代码,就无法使此类在这种情况下正常工作。这就是我最终所做的。我写了我自己的类,基本上是原始ActiveDirectoryLdapAUthenticationProvider的副本,对searchForUser()进行了一次简单而简单的修改,将用户名而不是bindPrincipal传递给searchForSingleEntryInternal()。

你可以输入任何你想要的搜索过滤器,但被迫只使用一个参数,这实际上是userPrincipalName,而不是别的,这有点无稽之谈。


答案 2

我遇到了类似的问题,并做了一些研究。在我们的AD中,域“my.company.com”,我们似乎有两组用户,一组设置为UPN格式 user1@my.company.com,另一组是 user2@somethingelse.com。

当我使用 org.springframework.security.ldap.authentication.ad.ActiveDirectoryLdapAuthenticationProvider 并尝试使用 user1@my.company.com 和 user2@somethingelse.com 对用户进行身份验证时,只有一个工作正常,具体取决于我传递给域名构造函数的内容。

我不是AD专家,但看看微软技术网的文章:https://technet.microsoft.com/en-us/library/cc739093(v=ws.10).aspx它看起来好像UPN后缀通常与域名相同,它不是必须的,可以附加其他东西。引用该文章

UPN 的第二部分(UPN 后缀)标识用户帐户所在的域。此 UPN 后缀可以是 DNS 域名、林中任何域的 DNS 名称,也可以是管理员创建并仅用于登录目的的备用名称。此备用 UPN 后缀不需要是有效的 DNS 名称。

在 Active Directory 中,默认的 UPN 后缀是在其中创建用户帐户的域的 DNS 名称。在大多数情况下,这是在互联网上注册为企业域名的域名。使用备用域名作为 UPN 后缀可以提供额外的登录安全性,并简化用于登录到林中另一个域的名称。

例如,如果您的组织使用按部门和区域组织的深层域树,则域名可能会很长。该域中用户的默认用户 UPN 可能 sales.westcoast.microsoft.com。该域中用户的登录名将 user@sales.westcoast.microsoft.com。创建 UPN 后缀“microsoft”将允许同一用户使用更简单的登录名 user@microsoft 登录。有关用户帐户的详细信息,请参阅用户和计算机帐户和对象名称。

但我认为ActiveDirectoryLdapAuthenticationProvider.java似乎在假设域名与UPN后缀相同。我对ActiveDirectoryLdapAuthenticationProvider进行了本地修复.java不要做出这样的假设:

String createBindPrincipal(String username) {
    if (domain == null || username.toLowerCase().endsWith(domain) || username.contains("@")) {
            return username;
    }
    return username + "@" + domain;
}

现在,具有不同 UPN 后缀的两个用户都是可搜索的。如果我的假设是正确的,我可能会用Spring安全性打开一个错误。


推荐