techquisitor: (sis)
[personal profile] techquisitor
Убил на эту задачу несколько дней, пока не нашёл нужный мне фильтр для работы с AD, иначе Karaf не подтягивал мне корректно роли.

Для работы с AD необходимо написать файл ldap-module.xml и положить его в каталог deploy.

Содержимое файла:




Важное примечание — connection.username= писать с указанием полного DN (например, cn=Administrator,cn=Users,dc=contoso,dc=org), иначе не будет подключаться к серверу AD.

Параметры user.base.dn= и role.base.dn= тоже необходимо указать ваши, поскольку именно из этих DN он будет брать списки пользователей и групп, которые потом будет ассоциировать с внутренними ролями ServiceMix.

Самое важное здесь: role.filter=(member:1.2.840.113556.1.4.1941:=%fqdn). Вот что это число означает я так и не понял, нашлось чисто случайно.

Для простоты настройки ещё можно вписать authentication = simple и отладку, но это по желанию.

Проверить, что у вас действительно работает всё через LDAP несложно. В консоли servicemix достаточно ввести команду jaas:realm-list. В ответ должно приехать такое:

karaf@root>jaas:realm-list
Index | Realm Name | Login Module Class Name
-----------------------------------------------------------------------
1 | karaf | org.apache.karaf.jaas.modules.ldap.LDAPLoginModule

После создания файла необходимо пройти в AD и в нужном OU/группе создать пользователя smx, а также группы: viewer, admin, manager, webconsole и ввести пользователя smx в эти группы. Например, если вы не добавите пользователя smx в группу viewer, у вас не будет открываться веб-интерфейс ServiceMix. А без доступа к admin — не будет работает встроенный ssh-клиент на сервере.

Если что-то не получается, можно стартовать демон вручную и смотреть логи. Они довольно информативные.
From:
Anonymous( )Anonymous This account has disabled anonymous posting.
OpenID( )OpenID You can comment on this post while signed in with an account from many other sites, once you have confirmed your email address. Sign in using OpenID.
User
Account name:
Password:
If you don't have an account you can create one now.
Subject:
HTML doesn't work in the subject.

Message:

 
Notice: This account is set to log the IP addresses of everyone who comments.
Links will be displayed as unclickable URLs to help prevent spam.

Profile

techquisitor: (Default)
techquisitor

September 2017

S M T W T F S
     12
34 567 89
10111213141516
171819202122 23
24252627282930

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Sep. 25th, 2017 02:40 am
Powered by Dreamwidth Studios