tomcat - 使用 tomcat 和 JNDI 针对多个 AD 组进行用户身份验证

Question

我希望有人可以帮助我解决这个问题，或者至少确认它可以完成。

目前，对于我的 Web 应用程序，当用户提交登录信息时，我使用 tomcat server.xml JNDI 领域配置针对 Active Directory 对其进行身份验证。

这是当前配置:

Realm 
alternateURL="ldaps://xxx.yyy.com:ddd" 
className="org.apache.catalina.realm.JNDIRealm" 
connectionName="CN=ggg,OU=Generic_IDs,OU=Users,OU=hhh,DC=jjj,DC=com" 
connectionPassword="pppp" 
connectionURL="ldaps://fff.yyy.com:ddd" 
roleBase="ou=Managed_Groups,ou=Groups,ou=hhh Inc,dc=jjj,dc=com" 
roleName="cn" 
roleSearch="(member={0})" 
roleSubtree="false" 
userBase="ou=hhh,dc=jjj,dc=com" 
userRoleName="(member={0})" 
userSearch="(&(sAMAccountName={0})(objectClass=user))" 
userSubtree="true"

我的要求:现在，我们有一些用户在单独服务器上的另一个 Active Directory 中设置。我需要一种方法让服务器首先尝试根据第一个 AD 服务器对用户进行身份验证，如果不成功，则连接到第二个 AD 并根据该服务器对用户进行身份验证。如果此处验证失败，则显示访问被拒绝页面。

有办法做到这一点吗？

非常感谢您的帮助。谢谢!

Answer 1

我使用了下一个领域标签

<Realm className="org.apache.catalina.realm.CombinedRealm" >
    <Realm className="org.apache.catalina.realm.JNDIRealm"
        connectionURL="ldap://dc01.domain.com:3268"
        useDelegatedCredential="true"
        userBase="cn=Users,dc=domain,dc=com"
        userSearch="(sAMAccountName={0})"
        userRoleName="memberOf"
        roleSubtree="true"
        roleName="cn"
        roleSearch="(member={0})"
        commonRole="test1"
        roleNested="true" />

    <Realm className="org.apache.catalina.realm.JNDIRealm"
        connectionURL="ldap://dc01.domain.com:3268"
        useDelegatedCredential="true"
        userBase="cn=Users,dc=domain,dc=com"
        userSearch="(sAMAccountName={0})"
        userRoleName="memberOf"
        roleSubtree="true"
        roleName="cn"
        roleSearch="(member={0})"
        commonRole="test2"
        roleNested="true" />
</Realm>