WSO2 IS配置Primary User Store——LDAP(Read-Only方式)

最新推荐文章于 2020-05-11 15:05:52 发布
原创 最新推荐文章于 2020-05-11 15:05:52 发布 · 1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#WSO2-IS #ldap

本文详述如何以Read-Only方式配置WSO2 Identity Server(WSO2 IS)连接LDAP用户存储。内容包括user-mgt.xml配置文件的修改,如启用Read-Only LDAP连接,设置admin角色,指定LDAP服务器的IP、连接用户名、密码以及用户和组的DN。重启WSO2 IS后,即可使用LDAP中的用户进行登录。

本文主要WSO2 IS通过Read-Only方式连接LDAP
1、在WSO2 IS中,user store的是通过Carbon-Home]/repository/conf/user-mgt.xml配置文件来管理的,user-mgt.xml的文件结构如下所示:

<UserManager>
  <Realm>
    <Configuration>
      .................
    </Configuration>
    <UserStoreManager>
      .................
    </UserStoreManager>
    <AuthorizationManager>
      .................
    </AuthorizationManager>
  </Realm>
</UserManager>

2、先观察<configuration>部分,

<Configuration>
        <AddAdmin>true</AddAdmin>
                <AdminRole>admin</AdminRole>
                <AdminUser>
                     <UserName>37Ink</UserName>
                     <Password></Password>
                </AdminUser>
            <EveryOneRoleName>everyone</EveryOneRoleName> <!-- By default users in this role sees the registry root -->
            <Property name="dataSource">jdbc/WSO2CarbonDB</Property>
        </Configuration>

<AddAdmin>true</AddAdmin>设置是否可以添加admin角色,此处需要设置为true;
<AdminRole>admin</AdminRole>制定admin对应的管理员权限,默认是admin,也可以是数据库中其他的角色;、
<AdminUser>配置默认的管理员;
<UserName>37Ink</UserName>是管理员的用户名,这个用户名必须是LDAP中已经存在的用户;
<Password>部分不需要填写,直接留空即可;
其他的<Configuration>保持原样即可。

3、接下来看<UserStoreManager>部分,在WSO2 IS的初始user-mgt.xml文件中,提供了四种连接方式样例,分别是Read-Write LDAP、JDBC、Read-Only LDAP、ActiveDirectory,默认开启的是Read-Write LDAP,连接的是本地的LDAP,接下来配置Read-Only方式连接外部的LDAP,配置完的内容如下:

<UserStoreManager class="org.wso2.carbon.user.core.ldap.ReadOnlyLDAPUserStoreManager">
        <Property name="TenantManager">org.wso2.carbon.user.core.tenant.CommonHybridLDAPTenantManager</Property>
        <Property name="ReadOnly">true</Property>
        <Property name="Disabled">false</Property>                      
        <Property name="MaxUserNameListLength">100</Property>
        <Property name="ConnectionURL">ldap://10.82.81.163:389</Property>
        <Property name="ConnectionName">cn=admin,dc=example,dc=com</Property>
        <Property name="ConnectionPassword">123456</Property>
        <Property name="passwordHashMethod">PLAIN_TEXT</Property>
        <Property name="UserSearchBase">dc=example,dc=com</Property>
        <Property name="UserNameListFilter">(objectClass=person)</Property>
        <Property name="UserNameSearchFilter">(&amp;(objectClass=person)(cn=?))</Property>
        <Property name="UserNameAttribute">cn</Property>
        <Property name="ReadGroups">true</Property>
        <Property name="GroupSearchBase">dc=example,dc=com</Property>
        <Property name="GroupNameListFilter">(objectClass=groupOfNames)</Property>
        <Property name="GroupNameSearchFilter">(&amp;(objectClass=groupOfNames)(cn=?))</Property>
        <Property name="GroupNameAttribute">cn</Property>
        <Property name="SharedGroupNameAttribute">cn</Property>
        <Property name="SharedGroupSearchBase">ou=SharedGroups,dc=wso2,dc=org</Property>
        <Property name="SharedGroupNameListFilter">(objectClass=groupOfNames)</Property>
        <Property name="SharedTenantNameListFilter">(objectClass=organizationalUnit)</Property>
        <Property name="SharedTenantNameAttribute">ou</Property>
        <Property name="SharedTenantObjectClass">organizationalUnit</Property>
        <Property name="MembershipAttribute">member</Property>
        <Property name="UserRolesCacheEnabled">true</Property>
        <Property name="ReplaceEscapeCharactersAtUserLogin">true</Property>
        <Property name="MaxRoleNameListLength">100</Property>
        <Property name="MaxUserNameListLength">100</Property>
        <Property name="SCIMEnabled">false</Property>
</UserStoreManager>

ConnectionURL是ldap服务器的ip;
ConnectionName是ldap服务器的连接用户名;
ConnectionPasswordldap服务器的连接用户名对应的密码;
UserSearchBase更改为ldap中user对应DN;
UserNameSearchFilter需要将uid改为cn,如果所使用的为uid则不需要;
UserNameAttribute需要将uid改为cn,如果所使用的为uid则不需要;
ReadGroups通过这个属性可以设置是否读取ldap中的group,如果设置为false,则下面的group操作可不做;
GroupSearchBase更改为ldap中group对应的cDN;
其他属性保持不变即可。

4、将WSO2 IS重启之后,就可以通过之前设置的LDAP用户直接登录WSO2 IS了。

WSO2身份服务中的关键概念一: 单点登录与身份联合
JosephThatwho的博客
02-25 1188
单点登录介绍 单点登录是WSO2身份服务的主要特色之一。通过单点登录,可以让用户只提供一次身份凭证就可以访问多个应用。在会话结束前,用户不需要再次输入凭证。用户也不需要分别登录每个应用。例如,用户登录了应用A,那么在会话结束前他不需要输入凭证即可访问应用B。 SSO的优点: 用户只需要一套用户名和密码即可访问多个应用。不需要记住对组凭证 用户只在身份管理服务登录,之后便可自动登录受信任域名。相比与在每个服务输入用户名和密码,更方便。 应用服务不需要维护用户的身份数据 用户身份由中心服务管理。更加安全、降低
wso2is-example:Wso2 Identity Server演示
05-26
Wso2 IS示例 一个简单的示例 介绍 该项目有助于理解通信流程将如何发生,并为使用java和wso2身份服务器的其他项目提供示例。 该项目具有三个相互通信的实体: Wso2身份服务器 设置和运行 设置wso2给出的 git clone在计算机上的任何位置git clone此项目 将复制到${tomcat user's home path}/.wso2Example/或在更新文件的位置 使用正确的值更新复制的conf.prp 更新 <outputDirectory>以与您的tomcat Webapps路径匹配(如果您不介意在每次安装后复制.war ,请将其删除) mvn install 如果删除了<outputDirectory>则将其手动部署到tomcat并打开http://localhost:8080/wso2Example/ 发展 Java API的开发没有什么棘手的问
系统集成之用户统一登录( LDAP + wso2 Identity Server)
weixin_33790053的博客
04-11 834
本文场景:LDAP + wso2 Identity Server + asp.net声明感知 场景 ,假定读者已经了解过ws-*协议族,及 ws-trust 和ws-federation. 随着开源技术的发展,越来越多的优秀开源产品将加入到我们常规的业务系统,为了避免重复造轮子(实际上自己造的轮子质量非常差),我们最快的方法就是集成优秀的开源项目为我所用. 下面来说说集成中...
wso2is-springoauth:WSO2 IS 与 Spring OAuth 流程之间的集成
06-16
将 Spring OAuth 与 WSO2 身份服务器结合使用 介绍 请参阅以阅读代码的完整说明 跑步 使用 maven mvn clean install编译项目 运行在目标文件夹中找到的 jar: java -jar yenlo-oauth-1.0-SNAPSHOT.jar
WSO2 IS 添加新的证书域名
Valhalla6416的博客
12-17 856
在使用WSO2 IS这个软件时,如果你把这个这软部署在其他服务器而不是本地的话,再调用其服务时会出现以下错误。 Certificate for <WSO2_IP> doesn't match common name of the certificate subject: localhost 意思时,wso2的证书只支持localhost则个域名,不支持那个IP。 ...
wso2 使用配置
weixin_30807779的博客
01-19 393
1.下载wso2 https://docs.wso2.com 2.配置 https://172.10.0.59:9443/publisher https://172.10.0.59:9443/carbon https://172.10.0.59:9443/store/ 3.下载分析组件 4.启动 5.数据库迁移 oracle https://docs.w...
siddhi-store-rdbms_wso2_siddhi_源码
09-30
"Siddhi Store RDBMS" 是一个基于WSO2的Siddhi扩展,用于在关系型数据库(RDBMS)中存储和管理流处理数据。"wso2_siddhi_源码" 指的是这个扩展的源代码,意味着我们将深入到代码层面去理解其工作原理和实现细节。 *...
精选资源
devillers.wso2is::locked_with_key: 修改 WSO2 身份服务器
06-17
综上所述,这个项目涵盖了 WSO2IS 的自动化部署、插件开发、配置定制以及数据迁移等多个方面,对于理解和实践 WSO2IS 的企业级应用有着丰富的参考价值。在实际操作中,开发者可能需要熟悉 Java 开发,了解 SAML 和 ...
WSO2-ESB、WSO2 Enterprise Integrator 6.6.0 使用手册.doc
03-11
WSO2 Enterprise Integrator 6.6.0 使用手册】是关于WSO2公司提供的企业级集成解决方案的详细指南,特别关注了WSO2 ESB的升级版——WSO2 EI 6.6.0。WSO2是一家专注于开源SOA解决方案的提供商,其产品家族包括API ...
wso2_WSO2身份服务器:身份管理平台
danpu0978的博客
05-11 1472
wso2 WSO2 Identity Server为身份管理提供了一个灵活,可扩展且强大的平台。 这篇博客文章在WSO2 Identity Server内部进行了研究,以识别可用于身份验证,授权和供应的不同插入点。 WSO2 Identity Server支持以下用于身份验证,授权和供应的标准/框架。 1.基于SOAP的身份验证API 2.验证者 3.用于分散式单点登录的OpenID...
WSO2 ESB安装配置文档
06-18
此文档为本人项目研究结果根据实际测试所编写,文档包括1、oracle数据库配置2、proxy代理配置迁移,3、将log日志记录进mongodb配置 ,4、activeMQ配置集成配置,5、扩展自定义路径支持,6、启动,8、登录。 如有问题欢迎留言交流
wso2 identity server 的openid实例
zzhongcy的专栏
04-29 2462
最近在研究wso2 IS openid,在网上
WSO2开发实践小结
xocom的专栏
07-22 4768
WSO2开发实践小结
openldap 认证
老康学Linux
08-07 3061
OpenLDAP是轻型目录访问协议(Lightweight Directory Access Protocol,LDAP)的自由和开源的实现,在其OpenLDAP许可证下发行,并已经被包含在众多流行的Linux发行版中。
[Windows Azure] Developing Multi-Tenant Web Applications with Windows Azure AD
weixin_34148508的博客
01-08 278
Developing Multi-Tenant Web Applications with Windows Azure AD 2 out of 3 rated this helpful - Rate this topic This document will explain how to use Windows Azure Active Directory to add to one ...
Confluence 6 连接到一个 LDAP 目录
HONEY MOOSE
04-07 595
https://www.cwiki.us/display/CONFLUENCEWIKI/Connecting+to+an+LDAP+Directory
WSO2 API Manager 替换mysql作为数据库,解决AuthorizationUtils Could not set authorizations for the root问题...
weixin_30879169的博客
01-25 249
按照wso2官网(https://docs.wso2.com/display/ADMIN44x/Changing+to+MySQL)配置AM的数据库,想从H2换成Mysql5.7,费了将近一天的时间,老是报错,提示AuthorizationUtils Could not set authorizations for the root,报错如下: Caused by: com.mysql.cj.e...
LDAP权限配置
热门推荐
niu870781892的专栏
06-19 1万+
简介:  您是否曾经设法与某个使用不同数据格式的人共享您的联系人列表,或者设法将您的地址簿迁移到另一个应用程序?如果是这样的话,您知道这是件令人头痛的事。导入和导出方案(如果它们确实存在)通常很笨拙而且使用起来不能令人满意,即使只使用一次也是如此,更不用说经常使用了。欢迎使用轻量级目录访问协议(Lightweight Directory Access Protocol)。本教程向您演示了如何创建一
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值