Weblogic 8.1 – Active Directory Authenticator

Par sdaclin

Pour faire simple, voici les 5 onglets à configurer pour permettre à une application J2EE sous weblogic 8.1 d’authentifier les utilisateurs sur un domaine Microsoft Active Directory.

Ce plugin permet à weblogic de se connecter à un LDAP active directory (onglet Active Directory), de définir au sein du REALM weblogic ce qu’est un utilisateur ldap valide (onglet Users), de définir au sein du REALM weblogic ce qu’est un Groupe LDAP valide et comment un utilisateur est rattaché à un groupe (onglets Groupes, Membership).

N.B. il est possible de définir explicitement quel utilisateur est membre de quel groupe AD, cependant, je vous conseille d’utiliser l’option “Use Token Groups for Group Membership Lookup” qui permet d’utiliser une optimisation interne à AD pour lier utilisateurs et groupe. Cette option permet notamment de lever la limite de 1500 membres rattachés à un groupe.

Détail de la configuration du plugins weblogic active directory authenticator, onglet detail

Cet onglet permet de spécifier comment cet “authenticator” est intégré parmis les autres authenticator disponibles. Le fait de marquer qu’il est “sufficient” permet de spécifier à weblo que les utilisateurs définis dans AD peuvent s’authentifier sans nécessiter d’être présent dans un quelconque autre authenticateur du REALM.

Attention si vous mettez le control flag sur REQUIRED, vous devrez avoir déclaré dans votre domaine AD un utilisateur nommé weblogic et ayant un mot de passe identique au compte de service weblogic sans quoi vous vous feriez sortir de la console et ne pourriez plus y accéder.

ActiveDirectoryAuthenticator -> Configuration -> Active Directory

Onglet active directory du plugin Weblogic ActiveDirectoryAuthenticator

Détail de la configuration du plugins weblogic active directory authenticator, onglet active directory

Cet onglet permet de configurer la connexion de weblogic à l’active directory (ici le DC porte l’ip 192.168.1.1). Vous retrouverez les mêmes paramètres que lors de la connexion de n’importe quel LDAP browser à une base LDAP d’un AD.

En production, il est évidemment conseillé de créer un compte dit de service qui n’aura accès au LDAP qu’en lecture seule et dont le mot de passe ne sera connu que de l’exploitant weblogic.

ActiveDirectoryAuthenticator -> Configuration -> Users

Détail de la configuration du plugins weblogic active directory authenticator, onglet users

Cet onglet permet de décrire au plugin ce qu’est un utilisateur dans la base LDAP. Pour ma part il s’agit d’un objet LDAP de type organizationalPerson dont la propriété à utiliser comme login est le sAMAccountName (nom de connexion windows).

ActiveDirectoryAuthenticator -> Configuration -> Groups

Détail de la configuration du plugins weblogic active directory authenticator, onglet groups

Détail de la configuration du plugins weblogic active directory authenticator, onglet groups

Cet onglet permet de décrire au plugin d’authentification ce qu’est un groupe AD valide. Dans l’exemple ci dessus, il s’agit d’un objet de class Group rangé dans la branche cn=users,dc=sdaclin,dc=wordpress,dc=com de l’active directory.

ActiveDirectoryAuthenticator -> Configuration -> Membership

Détail de la configuration du plugins weblogic active directory authenticator, onglet membership

Cet onglet permet une fois que le plugins à chargé des objets de type user et group, d’établir un lien d’apparenance entre ceux-ci.

Ici j’ai laissé les options par défaut car il est possible d’utiliser une fonctionnalité qui court-circuite ces options dans l’onglet détail. La configuration actuelle fonctionnerait cependant si les objets LDAP groupes trouvés dans l’AD possédaient une collection de propriété “member” renseignant le dn d’utilisateurs trouvés par la configuration de l’onglet Users. Toutefois une restriction à 1500 propriétés member est mise dans Active Directory ce qui ne permet pas d’utiliser cette fonctionnalité sur le groupe Domain Users dans une société de plus de 1500 personnes.

ActiveDirectoryAuthenticator -> Configuration -> Detail

Détail de la configuration du plugins weblogic active directory authenticator, onglet detail

Cet onglet est capital dans cette présentation puisqu’il contient la solution au problème des 1500 personnes membres du groupe Domain Users. Il s’agit en effet de cocher la propriété “Use Token Groups for Group Membership Lookup” qui en toute vraissemblance utilise la propriété propriétaire microsoft active directory primaryGroupId des utilisateurs AD pour la rapprocher à la propriété TokenGroups des groupes natifs.

Lien vers un site qui explique cette propriété.

Voilà avec ça tout devrait fonctionner et ce même pour les AD comportant plus de 1500 personnes.

2 Réponses vers “Weblogic 8.1 – Active Directory Authenticator”

Flux pour cette entrée Adresse du Trackback
  1. 1 KabaL
    août 14, 2009 à 9:59

    Excellent article qui m’a permis de configurer mes weblogics 9.2 avec le ldap active directory de l’entreprise.

    Répondre

Laisser un commentaire

 S'inscrire à ce flux

Site Meter

RSS Mon microblogging …

  • Récupérer la chaleur d'une véranda novembre 26, 2009
    Le chauffage coûte cher, c'est un fait. Pourtant tout propriétaire de véranda ou de petite serre a déjà remarqué que même au beau milieu de l'hiver, la température y régnant peut être fort agréable, pour peu que le soleil veuille bien dispenser quelques uns de ses rayons ! Pourquoi ne pas alors essayer de récupérer cette chaleur et faire ainsi des […]
  • IBM reproduit le cerveau d'un chat avec 150.000 processeurs novembre 20, 2009
    La réalité finit toujours par rejoindre la sciences-fiction. Une équipe de recherche cognitive d'IBM a assemblé un super-ordinateur de près de 150.000 processeurs, qui simule le cortex cérébral d'un chat. Une étape avant le cerveau humain. [Lire la suite]
  • Une première bêta de Silverlight 4 pour les développeurs novembre 19, 2009
    Microsoft a mis à disposition une première bêta pour son plugin Silverlight en version 4. Dans sa version actuelle Silverlight, qui permet d'exécuter en local des applications Internet riches, prend déjà [...]
  • Free Mobile est le seul candidat à la 4ème licence 3G octobre 29, 2009
    Les sociétés intéressées par la 4ème licence 3G avaient jusqu'à midi pour déposer leur dossier de candidature auprès de l'Arcep. Et alors que Free Mobile, filiale à 100% d'Iliad - le propriétaire du [...]
  • Announcing Google Maps Navigation for Android 2.0 octobre 28, 2009
    (Cross-posted with the Google Mobile Blog)Since 2005, millions of people have relied on Google Maps for mobile to get directions on the go. However, there's always been one problem: Once you're behind the wheel, a list of driving directions just isn't that easy to use. It doesn't tell you when your turn is coming up. And if you miss a tur […]
  • 3G : Free Mobile a déposé sa candidature à l'Arcep octobre 28, 2009
    Freephone Wifi C'est officiel. A la veille de la clôture des dépôts de candidature pour la quatrième licence 3G, le groupe Iliad a annoncé avoir déposé son dossier auprès de l'Arcep, l'autorité en charge [...]