Discussion :

[javaweb44]

Bonjour,

j'ai paramétré la sécurité websphere pour utiliser un serveur openldap.
quand je lance la console websphere je parviens à m'authentifier en utilisant l'utilisateur qui se trouve dans mon ldap et que j'ai déclaré dans :
Administration, applications et infrastructure sécurisées > Registre LDAP autonome

j'ai 2 soucis :
1) pour l'instant 1 seul utilisateur parvient à se connecter à la console
celui que j'ai déclaré dans "Nom distinctif de liaison (DN)"
comment faire pour qu'1 groupe entier puisse se connecter à la console ?


2) depuis une webapp websphere je n'arrive pas à me connecter, à chaque fois quand je soumets mon formulaire de login je suis redirigé vers la page d'erreur de login.
pourtant j'utilise le même utilisateur qui lui peut se connecter à la console websphere ...

[trax020]

Bonjour,

1) pour l'instant 1 seul utilisateur parvient à se connecter à la console
celui que j'ai déclaré dans "Nom distinctif de liaison (DN)"
comment faire pour qu'1 groupe entier puisse se connecter à la console ?

Tu dois aller au niveau de Administration Système>Utilisateurs de la console ou groupe(j'ai pas la console was devant moi )
Tu ajoutes le groupes déclaré au niveau du LDAP, et tu lui attribues les droits que tu veux (Administrateur, configurateur, moniteur, opérateur). Sauvegarde et redémarre WAS.
Ca devrait marcher si tout se passe bien

[javaweb44]

merci beaucoup pour cette réponse car elle me donne une nouvelle direction pour mes recherches.

je suis allé dans la partie "Rôles du groupe administratif" pour ajouter les rôles que tu m'as donné à mes groupes.
pour cela je dois taper le nom d'un groupe et ensuite sélectionner 1 ou plusieurs roles puis valider.
mais j'ai a chaque fois un message d'erreur qui m'indique qu'aucun groupe portant ce nom n'a été détecté dans le référentiel du registre utilisateur.
j'utilise le groupe "peoples"

je joins la config de mon ldap dans websphere + une vue de l'arborescence ldap que j'utilise pour que ce message soit plus claire.

le problème c'est que websphere ne détecte aucun groupe.
je crois que la notion de groupe correspond à ou en ldap. le problème vient peut être de là ?

[trax020]

je crois que la notion de groupe correspond à ou en ldap. le problème vient peut être de là ?

Ca se pourrait bien! Pour le vérifier, quand tu définies les paramètres du LDAP, il y'a un lien "paramètres Avancés" où tu peux définir les filtres LDAP utilisés pour rechercher les utilisateurs et les groupe au niveau de l'annuaire.
Si tes groupes sont des ou(Organizational Unit), dans le filtre des groupes tu dois avoir entre autre quelque chose comme (ou=*)...

[javaweb44]

ok, je comprends que les paramètres avancées sont nécessaires pour que websphere retrouve ces groupes.

je n'ai malheureusement pas réussis à trouver la bonne config.
voilà celle qui me semble juste :
Filtre d'utilisateurs :
(&(uid=%v)(objectclass=person))
Filtre de groupes :
(&(ou=%v)(|(objectclass=organizationalUnit)))
Mappe d'ID utilisateur :
*:uid
Mappe d'ID de groupe :
*:ou
Mappe d'ID membre de groupe
memberof:member

mais cette config ne me permet pas de pouvoir ajouter un rôle à un groupe:
j'ai toujours le même message d'erreur :
"aucun groupe portant ce nom n'a été détecté dans le référentiel du registre utilisateur"

[javaweb44]

j'annule le message précédent car en fait ca marche dès lors que je redémarre websphere ......

super !!!!!!

[javaweb44]

par contre l'ajout des roles d'administration à mon groupe peoples ne me permet toujours pas de me connecter avec un autre utilisateur que admin.
...

[javaweb44]

quand j'ajoute 1 utilisateur xxx dans la partie "Rôles de l'utilisateur administratif"
ce qui me permet d'ajouter des roles administratifs à 1 utilisateur
alors je peux me connecter à la console avec cet utilisateur xxx.

par contre l'ajout du groupe peoples ne fonctionne pas.

il semble qu'il y a un problème dans la détermination des utilisateurs présents dans 1 groupe.

je me demande si ce n'est pas cette propriété qui pose problème :
Mappe d'ID membre de groupe :
memberof:member

je ne sais pas quoi mettre d'autre dans cette zone.

[trax020]

Bonjour,
Je n'ai personnelement jamais utilisé les "ou" comme groupe, et il se peut en effet que le problème vient de la. Les ou, contrairement aux groupofnames ou les groupofuniquenames, ne donnent aucune information quand aux membres qui appartiennnent à ces ou.
Ce que je te suggère c'est de rajouter un groupe au niveau de ton arborescence LDAP, et d'y inclure les membres que tu veux qui eux sont sous des ou.
Si tu as besoin d'aide je peux te donner un coup de main pour faire ton fichier LDIF.

[javaweb44]

ok j'ai compris
maintenant ca fonctionne
je vais aussi essayer sur un active directory

il me reste à comprendre pourquoi ma webapp avec son formulaire de login ne me permet pas de me connecter correctement...

[javaweb44]

je suis coincé pour résoudre mon problème de connection via un formulaire web.tout le reste fonctionne correctement.
plus précisément si je fais:
scénario 1
- je démarre firefox
- j'accède à ../moappli/index.jsp et j'obtiens ../monappli/login.jsp
-> c'est OK

scénario 2
- je démarre firefox
- je me loggue à la console de websphere
- puis j'accède à ..:monappli/index.jsp avec succès

par contre si je fais :
- je démarre firefox
- j'accède à monappli/index.jsp et j'obtiens ../monappli/login.jsp
- je tape le user et password (celui qui me permet de me logger à la console websphere) et je suis toujours redirigé vers la page d'error de login ../monappli/login-error.jsp


voici mon web.xml :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
 
<?xml version="1.0" encoding="UTF-8"?>
<web-app id="WebApp_ID" version="2.4" xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd">
	<display-name>test</display-name>
 
	<welcome-file-list>
		<welcome-file>index.jsp</welcome-file>
	</welcome-file-list>
 
	<security-constraint>
		<display-name>
		secure access</display-name>
		<web-resource-collection>
			<web-resource-name>secure access</web-resource-name>
			<url-pattern>/*</url-pattern>
			<http-method>GET</http-method>
			<http-method>POST</http-method>
		</web-resource-collection>
		<auth-constraint>
			<description>access</description>
			<role-name>access</role-name>
		</auth-constraint>
	</security-constraint>
	<login-config>
		<auth-method>FORM</auth-method>
		<form-login-config>
			<form-login-page>/login.jsp</form-login-page>
			<form-error-page>/login-error.jsp</form-error-page>
		</form-login-config>
	</login-config>
	<security-role>
		<description>access</description>
		<role-name>access</role-name>
	</security-role>	
</web-app>

ma page de login :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
 
<html>
  <title>Login</title>
  <body>
  <form method="post" action="j_security_check">
     Enter user ID and password:
     User ID: <input type="text" size="20? name="j_username">
     Password: <input type="password" size="20? name="j_password">
     <input type="submit" name="login" value="Login">
    </form>
</body>
</html>

je suppose que la page de login si l'authentification fonctionne doit renvoyer la page demandé par l'utilisateur (referrer).
ou bien y a t'il un paramétrage à mettre pour indiquer où rediriger en cas de succès ?

[javaweb44]

l'erreur était là :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
<input type="text" size="20? name="j_username">

l'attribut size n'était pas fermé correctement (c'était un copier collé du web)