probleme avec jaas et les permissions

Version imprimable

salut j'ai essayé de gérer la notion des permission avec jaas à l'aide d'un simple exemple
voici ma classe de test:

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
 
public static void main(String[] args) {
		 boolean result = false;
		    try 
		    {
		    	//-Djava.security.auth.login.config=C:\JAAS\src\fileLogin.config
		      System.setProperty("java.security.auth.login.config", "c:\\MonitoringJMX.config");
		      LoginCallback loginCallback=new LoginCallback("user","motDePasse");
		      LoginContext loginContext = new LoginContext("Login",loginCallback);
		      loginContext.login();
		      System.out.println("Le principal="+loginContext.getSubject().getPrincipals().iterator().next().getName());
		      result=true;
		      System.out.println("Authentification=="+result);
		      try
				{
				AccessController.checkPermission(new PermissionImpl("admin"));
				System.out.println("Authorisation success!!!!!!!!");
				}catch (AccessControlException e) {
					e.printStackTrace();
					System.out.println("Authorisation failed!!!!!!!!");
				}
		      loginCallback=null;
		    }
		   catch (Exception e) {
			   e.printStackTrace();
		     System.out.println("login failed");
		     result = false;
		   }
 
	}

le fichier policy est:

Code:

1
2
3
4
 
grant Principal jaas.fileLogin.MyPrincipalRole "user"{
  permission jaas.fileLogin.PermissionImpl "admin";
};

j'ai ajouter l'argument:

Code:

-Djava.security.policy=C:\NesNes.policy

l'authentification va bien mais j'obtient toujours l'erreur suivante:

Code:

1
2
3
4
5
6
 
java.security.AccessControlException: access denied (jaas.fileLogin.PermissionImpl admin)
Authorisation failed!!!!!!!!
	at java.security.AccessControlContext.checkPermission(AccessControlContext.java:264)
	at java.security.AccessController.checkPermission(AccessController.java:427)
	at Test.main(Test.java:33)

ou est le probleme?

02/12/2009, 09h13
Invité

Salut,

Tu as oublié une partie importante : après l'authentication (que tu as faite) tu dois faire l'autorisation, ce qui est fait par les méthode du genre "doAsPrivileged", regarde le turoriel JAAS pour un exemple : http://java.sun.com/javase/6/docs/te...AcnAndAzn.html

A plus

Citation:

Envoyé par George7

Salut,

Tu as oublié une partie importante : après l'authentication (que tu as faite) tu dois faire l'autorisation, ce qui est fait par les méthode du genre "doAsPrivileged", regarde le turoriel JAAS pour un exemple : http://java.sun.com/javase/6/docs/te...AcnAndAzn.html

A plus

salut George,
à propos l'authorisation, je ne l'ai pas oublié
en effet,ce que je connait est l'authorisation consiste à affecter les principal au subject puis controler l'acces au ressources(ce control peut être fait à l'aide de doAsPrivilegedou à l'aide de AccessController.checkPermission(permission); comme j'ai fait)
j'ai affecter les principal dans la methode commit de mon LoginModule:
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 public boolean commit() throws LoginException { if (!succeeded) { userName = null; return false; } namePrincipal = new MyPrincipalRole(userName); if (!subject.getPrincipals().contains(namePrincipal)) { { subject.getPrincipals().add(namePrincipal); System.out.println("commit done"); } } for(int i=0;i<subject.getPrincipals().size();i++) System.out.println("Principal num "+i+" ="+subject.getPrincipals().iterator().next().getName()); userName = null; commitSucceeded = true; return true; }
une autre chose :j'ai constaté que lorsque je modifier mon fichier policy(je fait grant sans indiquer le Principal en question):
Code:

1 2 3 4 grant { permission jaas.fileLogin.PermissionImpl "admin"; };
les choses vont bien
c'est comme si le grant n'affecte pas le principal désiré malgré que j'ai bien vérifié le principal de l'utilisateur :
Code:

1 2 3 for(int i=0;i<subject.getPrincipals().size();i++) System.out.println("Principal num "+i+" ="+subject.getPrincipals().iterator().next().getName());
pouvez vous m'aider à déterminer l'erreur

02/12/2009, 10h16
Invité

Ok au temps pour moi j'avais pas vu ton module ;)
Juste par curiosité, je peux voir ta classe Principal ?

Citation:

Envoyé par George7

Ok au temps pour moi j'avais pas vu ton module ;)
Juste par curiosité, je peux voir ta classe Principal ?

voici ma classe principal:

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
 
package jaas.fileLogin;
 
import java.io.*;
import java.security.Principal;
 
 
/**
 *
 * @author  Riadh
 * @version 1.0
 */
public class MyPrincipalRole implements Principal, Serializable
{
 
 
	private static final long serialVersionUID = 1L;
	protected String name;
 
	/**
         * Création d'un MyPrincipalRole avec un nom.
         *
         * <p>
         *
         * @param nom du principal.
         * @exception NullPointerException si <code>name</code>
         *                      est <code>null</code>.
         */
	public MyPrincipalRole(String name)
	{
		if (name == null) {
			throw new NullPointerException("Illegal null name");
		}
		this.name = name;
 
	}
 
 
 
	public boolean equals(Object another)
	{
		if (!(another instanceof MyPrincipalRole)) {
			return false;
		}
		return ((MyPrincipalRole) another).getName().equals(name);
	}
 
 
	public void setName(String name)
	{
		this.name = name;
	}
 
	/**
         * Retourne le nom du <code>MyPrincipalRole</code>.
         *
         * <p>
         *
         * @return le nom du <code>MyPrincipalRole</code>
         */
	public String getName()
	{
		return name;
	}
}

02/12/2009, 10h26
Invité

Bon là je vois pas trop de problème. Le fait que ça marche quand tu ne précises pas de Principal est normal, car ça signifie que tout le monde reçoit ces permissions, donc même sans authentification ça devrait marcher. As tu essayé avec la méthode doAsPrivileged ?
02/12/2009, 10h38
riadhhwajdii

Citation:

Envoyé par George7

Bon là je vois pas trop de problème. Le fait que ça marche quand tu ne précises pas de Principal est normal, car ça signifie que tout le monde reçoit ces permissions, donc même sans authentification ça devrait marcher. As tu essayé avec la méthode doAsPrivileged ?

je ne sait pas beaucoup comment utiliser cette méthode ni son intéret:
comment je puisse indiquer les permissions nécéssaires pour invoker une action car cette methode ne prenne pas comme arguments les permissions nécéssaires pour l'éxécution de l'action
ce que je pense est qu'il faut passer toulours par AccessController.checkPermission(permission ) pour protéger une application
est ce que mon raisonnement est faut ?
02/12/2009, 10h51
Invité

Et bien le doAsPrivileged lance une action avec le Subject que tu donnes, cette action peut ensuite tester si le sujet a les permissions nécessaires avec ta méthode. Mais si tu ne lances pas en privilégié, je suis pas sûr que ça puisse marcher car aucun lien n'est fait avec le sujet qui doit avoir les permissions. Essaye de faire ton check dans une action privilégiée

Citation:

Envoyé par George7

cette action peut ensuite tester si le sujet a les permissions nécessaires avec ta méthode.

ou sont invoqués les permissions nécessaires pour ma méthode
supposons que ma methode ne contient qu'un System.out.println("Authorisation success!!!!!!!!");
j'aurait ainsi:
Code:

1 2 3 4 5 6 7 javax.security.auth.Subject.doAsPrivileged( subject, new PrivlegedAction<Void>() { public Void run() { System.out.println("Authorisation success!!!!!!!!"); }} );
mais qu'elles sont les permissions nécessaires pour invoker cette action
(qui est l'équivalent de AccessController.checkPermission(permission) dans la methode doAsPrivileged?)

02/12/2009, 11h37
Invité

Ton action là n'a rien de spécial... il faut que tu testes les permission toi même dans ton cas (checkPermission comme tu as fait)
Dans l'exemple de sun, c'est les accès au fichier qui doivent tester les permission, c'est pour ça qu'ils ne le font pas eux même, mais dans ton cas tu dois tester explicitement
02/12/2009, 12h03
riadhhwajdii

Citation:

Envoyé par George7

Ton action là n'a rien de spécial... il faut que tu testes les permission toi même dans ton cas (checkPermission comme tu as fait)
Dans l'exemple de sun, c'est les accès au fichier qui doivent tester les permission, c'est pour ça qu'ils ne le font pas eux même, mais dans ton cas tu dois tester explicitement

est ce que vous voulez dire que je doit appeler AccessController.checkPermission(permission) au sein de la methode doPrivileged
si ce le cas, quel serait alors l'interet de la methode doPrivileged ?
02/12/2009, 13h30
Invité
ça sert à exécuter une portion de code en tant que le sujet que tu donnes en paramètre (cf la javadoc).
Il me semble que cela marche ainsi :
- doAS -> j'exécute le code en tant que tel sujet
- checkPermission -> est-ce que le sujet courant a cette permission

Citation:

Envoyé par George7

ça sert à exécuter une portion de code en tant que le sujet que tu donnes en paramètre (cf la javadoc).
Il me semble que cela marche ainsi :

doAS -> j'exécute le code en tant que tel sujet
checkPermission -> est-ce que le sujet courant a cette permission

merci infiniment George
j'ai testé avec et ça a marché:
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 javax.security.auth.Subject.doAsPrivileged( LoginManager.getSubject(), new PrivilegedAction<Void>() { public Void run() { PermissionImpl p=new PermissionImpl("admin"); AccessController.checkPermission(p); System.out.println("Authorisation success!!!!!!!!"); return null; }}, null ); }catch (AccessControlException e) { e.printStackTrace(); System.out.println("Authorisation failed!!!!!!!!"); }
une autre question svp:j'ai testé cet exemple dans une application java en indiaquant l'adresse de mon fichier policy dans le fichier java.security se trouvant dans jre/lib/security
mais en intégrant mon module jaas dans une application web, ça n'a marché que lorsque j'ai ajouter l'argument -Djava.security.auth.policy=C:\NesNes.policy
j'ai même essayé de declarer le grant directement dans le fichier catalina.policymais sans resultat
est ce que tu connait une solution pour spécifier l'url de mon fichier policy autre qu'ajouter l'argument -Djava.security.auth.policy=C:\NesNes.policy (avec eclipse bouton droit sur le fichier-->Run Configurations-->Arguments-->VM Arguments)

03/12/2009, 13h29
Invité

Avec JAAS en tant que tel, il n'y a à ma connaissance pas d'autres moyenssi tu veux ajouter dans le fichier catalina.policy, il faut démarrer ton eclipse avec l'option -security, tu trouveras plus d'infos ici : http://tomcat.apache.org/tomcat-6.0-...ger-howto.html
03/12/2009, 14h17
riadhhwajdii

Citation:

Envoyé par George7

Avec JAAS en tant que tel, il n'y a à ma connaissance pas d'autres moyenssi tu veux ajouter dans le fichier catalina.policy, il faut démarrer ton eclipse avec l'option -security, tu trouveras plus d'infos ici : http://tomcat.apache.org/tomcat-6.0-...ger-howto.html

merci infiniment George pour tout vos réponses
vous étiez génial:ccool: