Discussion :

[jroux]

Bonjour,

J'utilise aujourd'hui JAAS pour l'auth. de mon application J2EE (CLIENT-CERT) sous JBOSS 5.1. Je souhaiterais mettre en place une deuxieme authentification, si la premiére n'est pas valide, on passe à la segonde. J'ai modifié mon fichier login-config.xml, mais je ne sais quelle modification apporter à mon web.wml sachant que la premiere utilisera CLIENT-CERT et la seconde FORM. D'aprés ce que j'ai compris, on ne peut pas multiplier les login-config.

Quelqu'un a t-il déjà rencontré ce cas de figure?

Par avance, Merci.

[jroux]

Bonjour,

J'aurais préféré un message sur le forum pour une demande d'aide mais allez, c'est vendredi, c'est cadeau
dans ton fichier de configuration JAAS tu peux donner plusieurs LoginModule et indiquer s'ils sont requis, optionel etc. Donc suivant leur ordre dans la liste et leur flag tu peux avoir le comportement souhaité, regarde ici : http://download.oracle.com/javase/6/...iguration.html

Merci pour ta reponse, je copie ta reponse dans le forum.

C'est la partie de JAAS que j'ai déjà mis en place, en revanche, c'est dans le web.xml de l'application que je ne sais pas comment lui preciser 2 types d'"auth-method".

[jroux]

Ci-dessous mes fichiers de conf :

mon login-config.xml :

<application-policy name="MySec">
<authentication>
<login-module code="fr.security.tomcat.MyAuthentificator" flag="sufficient">
<module-option name="password-stacking">useFirstPass</module-option>
<module-option name="principalClass">fr.security.tomcat.MyPrincipal</module-option>
<module-option name="securityDomain">java:/jaas/MySec</module-option>
<module-option name="principalClassName">fr.security.tomcat.MyPrincipal</module-option>
</login-module>
<login-module code="org.jboss.security.auth.spi.LdapLoginModule" flag="sufficient" >
<module-option name="java.naming.factory.initial">com.sun.jndi.ldap.LdapCtxFactory</module-option>
<module-option name="java.naming.provider.url">ldap://xxx:389</module-option>
<module-option name="java.naming.security.authentication">simple</module-option>
<module-option name="principalDNPrefix">cn=</module-option>
<module-option name="principalDNSuffix">,o=utilisateur pilote,dc=xx,dc=com</module-option>
<module-option name="rolesCtxDN">o=role,dc=xx,dc=com</module-option>
<module-option name="uidAttributeID">member</module-option>
<module-option name="matchOnUserDN">true</module-option>
<module-option name="roleAttributeID">cn</module-option>
<module-option name="roleAttributeIsDN">false</module-option>
<module-option name="searchTimeLimit">5000</module-option>
<module-option name="searchScope">SUBTREE_SCOPE</module-option>
</login-module>
</authentication>
</application-policy>

Dans mon web.xml :

<security-constraint>
<web-resource-collection>
<web-resource-name>Client Certificate Auth</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>manager</role-name>
</auth-constraint>
</security-constraint>
<security-role>
<role-name>manager</role-name>
</security-role>
<login-config>
<auth-method>CLIENT-CERT</auth-method>
</login-config>

Dans mon jboss-web.xml :

<security-domain>java:/jaas/MySec</security-domain>

Cette conf fonctionne correctement avec uniquement la presentation du certificat. Dans notre authenticator, nous verifions les informations du certificat. Nous voudrions ajouter un deuxieme niveau si l'auth par certif n'aboutit pas.

[Invité]

Salut,

Le problème ici c'est que tu demandes obligatoirement que l'authentification se fasse par certificat. en spécifiant le <auth-method>
La méthode realms que tu utilise ne permet pas à ma connaissance de faire ce que tu veux (changer de méthode d'authentification à la volée).
As-tu tenté de ne pas configurer la sécurité dans le web.xml en statique mais de configurer ton server pour accepter en optionnel les certificats client et se reposer uniquement sur le security-domain ?
Je pense que dans ton cas il ne s'agirait que de retirer la configuration du web.xml
Je ne suis plus sûr de ce qui nécessite une authentification quand on met <security-domain> à la racine de jboss-web.xml, il faut que je me replonge dedans.
En tout cas, le standard JEE dans le web.xml ne permet pas de faire ce que tu souhaites à ma connaissance

[jroux]

J'ai commencé à jeter un coup d'oeil, j'ai retiré la conf du web.xml, mais il ne passe plus du tout par l'auth. C'est dans le web.wml que je lui presisais le chemin du formulaire d'auth et la page d'erreur d'auth en mode FORM. Où dois je le renseigner dans le serveur d'application ?

Je continu à chercher.

[jroux]

Ma conf correspond à ce document : http://www.javadev.org/files/JAAS-JBoss.pdf, qu'en penses tu?