Pour faire simple, voici les 5 onglets à configurer pour permettre à une application J2EE sous weblogic 8.1 d’authentifier les utilisateurs sur un domaine Microsoft Active Directory.

Ce plugin permet à weblogic de se connecter à un LDAP active directory (onglet Active Directory), de définir au sein du REALM weblogic ce qu’est un utilisateur ldap valide (onglet Users), de définir au sein du REALM weblogic ce qu’est un Groupe LDAP valide et comment un utilisateur est rattaché à un groupe (onglets Groupes, Membership).

N.B. il est possible de définir explicitement quel utilisateur est membre de quel groupe AD, cependant, je vous conseille d’utiliser l’option “Use Token Groups for Group Membership Lookup” qui permet d’utiliser une optimisation interne à AD pour lier utilisateurs et groupe. Cette option permet notamment de lever la limite de 1500 membres rattachés à un groupe.

ActiveDirectoryAuthenticator -> Configuration -> General

Détail de la configuration du plugins weblogic active directory authenticator, onglet detail

Cet onglet permet de spécifier comment cet “authenticator” est intégré parmis les autres authenticator disponibles. Le fait de marquer qu’il est “sufficient” permet de spécifier à weblo que les utilisateurs définis dans AD peuvent s’authentifier sans nécessiter d’être présent dans un quelconque autre authenticateur du REALM.

Attention si vous mettez le control flag sur REQUIRED, vous devrez avoir déclaré dans votre domaine AD un utilisateur nommé weblogic et ayant un mot de passe identique au compte de service weblogic sans quoi vous vous feriez sortir de la console et ne pourriez plus y accéder.

ActiveDirectoryAuthenticator -> Configuration -> Active Directory

Détail de la configuration du plugins weblogic active directory authenticator, onglet active directory

Cet onglet permet de configurer la connexion de weblogic à l’active directory (ici le DC porte l’ip 192.168.1.1). Vous retrouverez les mêmes paramètres que lors de la connexion de n’importe quel LDAP browser à une base LDAP d’un AD.

En production, il est évidemment conseillé de créer un compte dit de service qui n’aura accès au LDAP qu’en lecture seule et dont le mot de passe ne sera connu que de l’exploitant weblogic.

ActiveDirectoryAuthenticator -> Configuration -> Users

Détail de la configuration du plugins weblogic active directory authenticator, onglet users

Cet onglet permet de décrire au plugin ce qu’est un utilisateur dans la base LDAP. Pour ma part il s’agit d’un objet LDAP de type organizationalPerson dont la propriété à utiliser comme login est le sAMAccountName (nom de connexion windows).

ActiveDirectoryAuthenticator -> Configuration -> Groups

Détail de la configuration du plugins weblogic active directory authenticator, onglet groups

Cet onglet permet de décrire au plugin d’authentification ce qu’est un groupe AD valide. Dans l’exemple ci dessus, il s’agit d’un objet de class Group rangé dans la branche cn=users,dc=sdaclin,dc=wordpress,dc=com de l’active directory.

ActiveDirectoryAuthenticator -> Configuration -> Membership

Détail de la configuration du plugins weblogic active directory authenticator, onglet membership

Cet onglet permet une fois que le plugins à chargé des objets de type user et group, d’établir un lien d’apparenance entre ceux-ci.

Ici j’ai laissé les options par défaut car il est possible d’utiliser une fonctionnalité qui court-circuite ces options dans l’onglet détail. La configuration actuelle fonctionnerait cependant si les objets LDAP groupes trouvés dans l’AD possédaient une collection de propriété “member” renseignant le dn d’utilisateurs trouvés par la configuration de l’onglet Users. Toutefois une restriction à 1500 propriétés member est mise dans Active Directory ce qui ne permet pas d’utiliser cette fonctionnalité sur le groupe Domain Users dans une société de plus de 1500 personnes.

ActiveDirectoryAuthenticator -> Configuration -> Detail

Détail de la configuration du plugins weblogic active directory authenticator, onglet detail

Cet onglet est capital dans cette présentation puisqu’il contient la solution au problème des 1500 personnes membres du groupe Domain Users. Il s’agit en effet de cocher la propriété “Use Token Groups for Group Membership Lookup” qui en toute vraissemblance utilise la propriété propriétaire microsoft active directory primaryGroupId des utilisateurs AD pour la rapprocher à la propriété TokenGroups des groupes natifs.

Lien vers un site qui explique cette propriété.

Voilà avec ça tout devrait fonctionner et ce même pour les AD comportant plus de 1500 personnes.