LDAP Authentication

LDAP(轻型目录访问协议)经常被组织用作用户信息的中心存储库以及身份验证服务。它还可以用于存储应用程序用户的角色信息。 当 Spring Security 配置为 accept a username/password进行身份验证时,会使用 Spring Security 基于 LDAP 的身份验证。但是,尽管在身份验证中使用用户名和密码,但却没有使用 UserDetailsService,因为在 bind authentication中,LDAP 服务器不会返回密码,因此应用程序无法执行该密码的验证。 不同的 LDAP 服务器可以配置成很多不同的场景,因此 Spring Security 的 LDAP 提供程序是完全可配置的。它为身份验证和角色检索使用单独的策略接口,并提供可以配置为处理各种情况的默认实现。

Prerequisites

在尝试将 LDAP 与 Spring Security 结合使用之前,您应该熟悉 LDAP。以下链接提供了对所涉及的概念的良好介绍,以及使用免费的 LDAP 服务器 OpenLDAP 设置目录的指南:[role="bare"][role="bare"]https://www.zytrax.com/books/ldap/. 熟悉用于从 Java 访问 LDAP 的 JNDI API 也可能会很有用。我们在 LDAP 提供程序中不使用任何第三方 LDAP 库(Mozilla、JLDAP 或其他库),但会广泛使用 Spring LDAP,因此如果您计划添加自己的自定义项,那么熟悉该项目可能会很有用。

在使用 LDAP 认证时,您应该确保正确配置 LDAP 连接池。如果您不熟悉如何执行此操作,请参阅 Java LDAP documentation

Setting up an Embedded LDAP Server

首先要做的是确保拥有一个 LDAP 服务器来指向你的配置。为了简单起见,通常最好从一个嵌入式 LDAP 服务器开始。Spring Security 支持使用下列服务器:

在以下示例中,我们将 users.ldif 公开为类路径资源,以便使用两个密码均为 passworduseradmin 初始化嵌入式 LDAP 服务器:

users.ldif
dn: ou=groups,dc=springframework,dc=org
objectclass: top
objectclass: organizationalUnit
ou: groups

dn: ou=people,dc=springframework,dc=org
objectclass: top
objectclass: organizationalUnit
ou: people

dn: uid=admin,ou=people,dc=springframework,dc=org
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
cn: Rod Johnson
sn: Johnson
uid: admin
userPassword: password

dn: uid=user,ou=people,dc=springframework,dc=org
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
cn: Dianne Emu
sn: Emu
uid: user
userPassword: password

dn: cn=user,ou=groups,dc=springframework,dc=org
objectclass: top
objectclass: groupOfNames
cn: user
uniqueMember: uid=admin,ou=people,dc=springframework,dc=org
uniqueMember: uid=user,ou=people,dc=springframework,dc=org

dn: cn=admin,ou=groups,dc=springframework,dc=org
objectclass: top
objectclass: groupOfNames
cn: admin
uniqueMember: uid=admin,ou=people,dc=springframework,dc=org

Embedded UnboundID Server

如果您希望使用 UnboundID,请指定以下依赖项:

UnboundID Dependencies

  • Maven

  • Gradle

<dependency>
	<groupId>com.unboundid</groupId>
	<artifactId>unboundid-ldapsdk</artifactId>
	<version>{unboundid-ldapsdk-version}</version>
	<scope>runtime</scope>
</dependency>
depenendencies {
	runtimeOnly "com.unboundid:unboundid-ldapsdk:{unboundid-ldapsdk-version}"
}

然后,您可以使用 EmbeddedLdapServerContextSourceFactoryBean 配置嵌入式 LDAP 服务器。这样会指示 Spring Security 启动内存内 LDAP 服务器:

Embedded LDAP Server Configuration

  • Java

  • Kotlin

@Bean
public EmbeddedLdapServerContextSourceFactoryBean contextSourceFactoryBean() {
	return EmbeddedLdapServerContextSourceFactoryBean.fromEmbeddedLdapServer();
}
@Bean
fun contextSourceFactoryBean(): EmbeddedLdapServerContextSourceFactoryBean {
    return EmbeddedLdapServerContextSourceFactoryBean.fromEmbeddedLdapServer()
}

或者,您可以手动配置嵌入式 LDAP 服务器。如果您选择这种方法,您将负责管理嵌入式 LDAP 服务器的生命周期。

Explicit Embedded LDAP Server Configuration

  • Java

  • XML

  • Kotlin

@Bean
UnboundIdContainer ldapContainer() {
	return new UnboundIdContainer("dc=springframework,dc=org",
				"classpath:users.ldif");
}
<b:bean class="org.springframework.security.ldap.server.UnboundIdContainer"
	c:defaultPartitionSuffix="dc=springframework,dc=org"
	c:ldif="classpath:users.ldif"/>
@Bean
fun ldapContainer(): UnboundIdContainer {
    return UnboundIdContainer("dc=springframework,dc=org","classpath:users.ldif")
}

Embedded ApacheDS Server

Spring Security 使用 ApacheDS 1.x,后者不再维护。遗憾的是,ApacheDS 2.x 仅发布了里程碑版本,而不存在任何稳定版本。一旦有 ApacheDS 2.x 的稳定版本可用,我们将会考虑进行更新。

如果您希望使用 Apache DS,请指定以下依赖项:

ApacheDS Dependencies

  • Maven

  • Gradle

<dependency>
	<groupId>org.apache.directory.server</groupId>
	<artifactId>apacheds-core</artifactId>
	<version>{apacheds-core-version}</version>
	<scope>runtime</scope>
</dependency>
<dependency>
	<groupId>org.apache.directory.server</groupId>
	<artifactId>apacheds-server-jndi</artifactId>
	<version>{apacheds-core-version}</version>
	<scope>runtime</scope>
</dependency>
depenendencies {
	runtimeOnly "org.apache.directory.server:apacheds-core:{apacheds-core-version}"
	runtimeOnly "org.apache.directory.server:apacheds-server-jndi:{apacheds-core-version}"
}

然后,您可以配置嵌入式 LDAP 服务器:

Embedded LDAP Server Configuration

  • Java

  • XML

  • Kotlin

@Bean
ApacheDSContainer ldapContainer() {
	return new ApacheDSContainer("dc=springframework,dc=org",
				"classpath:users.ldif");
}
<b:bean class="org.springframework.security.ldap.server.ApacheDSContainer"
	c:defaultPartitionSuffix="dc=springframework,dc=org"
	c:ldif="classpath:users.ldif"/>
@Bean
fun ldapContainer(): ApacheDSContainer {
    return ApacheDSContainer("dc=springframework,dc=org", "classpath:users.ldif")
}

LDAP ContextSource

一旦您拥有一个 LDAP 服务器可用于指向您的配置,则需要配置 Spring Security 以指向应该用于对用户进行身份验证的 LDAP 服务器。为此,创建一个 LDAP ContextSource(它与 JDBC DataSource 等效)。如果您已经配置了 EmbeddedLdapServerContextSourceFactoryBean,Spring Security 将创建一个 LDAP ContextSource 以指向嵌入式 LDAP 服务器。

LDAP Context Source with Embedded LDAP Server

  • Java

  • Kotlin

@Bean
public EmbeddedLdapServerContextSourceFactoryBean contextSourceFactoryBean() {
	EmbeddedLdapServerContextSourceFactoryBean contextSourceFactoryBean =
			EmbeddedLdapServerContextSourceFactoryBean.fromEmbeddedLdapServer();
	contextSourceFactoryBean.setPort(0);
	return contextSourceFactoryBean;
}
@Bean
fun contextSourceFactoryBean(): EmbeddedLdapServerContextSourceFactoryBean {
    val contextSourceFactoryBean = EmbeddedLdapServerContextSourceFactoryBean.fromEmbeddedLdapServer()
    contextSourceFactoryBean.setPort(0)
    return contextSourceFactoryBean
}

或者,您可以明确配置 LDAP ContextSource 以连接到已提供的 LDAP 服务器:

LDAP Context Source

  • Java

  • XML

  • Kotlin

ContextSource contextSource(UnboundIdContainer container) {
	return new DefaultSpringSecurityContextSource("ldap://localhost:53389/dc=springframework,dc=org");
}
<ldap-server
	url="ldap://localhost:53389/dc=springframework,dc=org" />
fun contextSource(container: UnboundIdContainer): ContextSource {
    return DefaultSpringSecurityContextSource("ldap://localhost:53389/dc=springframework,dc=org")
}

Authentication

Spring Security 的 LDAP 支持不使用 UserDetailsService,因为 LDAP 绑定身份验证不允许客户端读取密码,甚至不允许读取密码的哈希版本。这意味着 Spring Security 无法读取密码,进而无法对密码进行身份验证。

出于这个原因,LDAP 支持是通过 LdapAuthenticator 接口实现的。LdapAuthenticator 接口还负责检索任何必需的用户属性。这是因为属性的权限可能取决于所使用的验证类型。例如,如果绑定为该用户,则可能需要以用户的自身权限读取该属性。

Spring Security 提供了两个 LdapAuthenticator 实现:

Using Bind Authentication

Bind Authentication 是使用 LDAP 对用户进行认证的最常见机制。在绑定认证中,用户凭证(用户名和密码)提交至对它们进行认证的 LDAP 服务器。使用绑定认证的优势在于无需对客户端公开用户的秘密(密码),这有助于防止泄露这些秘密。

以下示例显示了绑定验证配置:

Bind Authentication

  • Java

  • XML

  • Kotlin

@Bean
AuthenticationManager authenticationManager(BaseLdapPathContextSource contextSource) {
	LdapBindAuthenticationManagerFactory factory = new LdapBindAuthenticationManagerFactory(contextSource);
	factory.setUserDnPatterns("uid={0},ou=people");
	return factory.createAuthenticationManager();
}
<ldap-authentication-provider
	user-dn-pattern="uid={0},ou=people"/>
@Bean
fun authenticationManager(contextSource: BaseLdapPathContextSource): AuthenticationManager {
    val factory = LdapBindAuthenticationManagerFactory(contextSource)
    factory.setUserDnPatterns("uid={0},ou=people")
    return factory.createAuthenticationManager()
}

前面简单的示例将通过在已提供的模式中替换用户登录名并尝试以该用户和登录密码进行绑定来获取用户的 DN。如果您的所有用户都存储在目录中的单个节点下,这是可以的。如果您希望配置 LDAP 搜索过滤器以查找用户,则可以使用以下内容:

Bind Authentication with Search Filter

  • Java

  • XML

  • Kotlin

@Bean
AuthenticationManager authenticationManager(BaseLdapPathContextSource contextSource) {
	LdapBindAuthenticationManagerFactory factory = new LdapBindAuthenticationManagerFactory(contextSource);
	factory.setUserSearchFilter("(uid={0})");
	factory.setUserSearchBase("ou=people");
	return factory.createAuthenticationManager();
}
<ldap-authentication-provider
		user-search-filter="(uid={0})"
	user-search-base="ou=people"/>
@Bean
fun authenticationManager(contextSource: BaseLdapPathContextSource): AuthenticationManager {
    val factory = LdapBindAuthenticationManagerFactory(contextSource)
    factory.setUserSearchFilter("(uid={0})")
    factory.setUserSearchBase("ou=people")
    return factory.createAuthenticationManager()
}

如果与 ContextSource definition shown earlier 一起使用,这将使用 (uid={0}) 作为筛选器来在 DN ou=people,dc=springframework,dc=org 下执行搜索。同样地,用户登录名将被替换为筛选器名称中的参数,以便搜索 uid 属性等于用户名的一项条目。如果未提供用户搜索基础,那么从根目录执行搜索。

Using Password Authentication

密码比较是将用户提供的密码与存储在存储库中的密码进行比较。可以通过检索密码属性的值并在本地查看该值或者通过执行 LDAP “compare” 操作来实现,其中已提供的密码传递给服务器用于比较而不会检索实际密码值。如果密码使用随机盐正确进行了哈希处理,则无法执行 LDAP 比较。

Minimal Password Compare Configuration

  • Java

  • XML

  • Kotlin

@Bean
AuthenticationManager authenticationManager(BaseLdapPathContextSource contextSource) {
	LdapPasswordComparisonAuthenticationManagerFactory factory = new LdapPasswordComparisonAuthenticationManagerFactory(
			contextSource, NoOpPasswordEncoder.getInstance());
	factory.setUserDnPatterns("uid={0},ou=people");
	return factory.createAuthenticationManager();
}
<ldap-authentication-provider
		user-dn-pattern="uid={0},ou=people">
	<password-compare />
</ldap-authentication-provider>
@Bean
fun authenticationManager(contextSource: BaseLdapPathContextSource?): AuthenticationManager? {
    val factory = LdapPasswordComparisonAuthenticationManagerFactory(
        contextSource, NoOpPasswordEncoder.getInstance()
    )
    factory.setUserDnPatterns("uid={0},ou=people")
    return factory.createAuthenticationManager()
}

以下示例显示了具有一些自定义的更多高级配置:

Password Compare Configuration

  • Java

  • XML

  • Kotlin

@Bean
AuthenticationManager authenticationManager(BaseLdapPathContextSource contextSource) {
	LdapPasswordComparisonAuthenticationManagerFactory factory = new LdapPasswordComparisonAuthenticationManagerFactory(
			contextSource, new BCryptPasswordEncoder());
	factory.setUserDnPatterns("uid={0},ou=people");
	factory.setPasswordAttribute("pwd");  (1)
	return factory.createAuthenticationManager();
}
<ldap-authentication-provider
		user-dn-pattern="uid={0},ou=people">
	<password-compare password-attribute="pwd"> (1)
		<password-encoder ref="passwordEncoder" /> (2)
	</password-compare>
</ldap-authentication-provider>
<b:bean id="passwordEncoder"
	class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />
@Bean
fun authenticationManager(contextSource: BaseLdapPathContextSource): AuthenticationManager {
    val factory = LdapPasswordComparisonAuthenticationManagerFactory(
        contextSource, BCryptPasswordEncoder()
    )
    factory.setUserDnPatterns("uid={0},ou=people")
    factory.setPasswordAttribute("pwd") (1)
    return factory.createAuthenticationManager()
}
1 指定密码属性为`pwd`.

LdapAuthoritiesPopulator

Spring Security 的 LdapAuthoritiesPopulator 用于确定为用户返回哪些权限。以下示例显示了如何配置 LdapAuthoritiesPopulator

LdapAuthoritiesPopulator Configuration

  • Java

  • XML

  • Kotlin

@Bean
LdapAuthoritiesPopulator authorities(BaseLdapPathContextSource contextSource) {
	String groupSearchBase = "";
	DefaultLdapAuthoritiesPopulator authorities =
		new DefaultLdapAuthoritiesPopulator(contextSource, groupSearchBase);
	authorities.setGroupSearchFilter("member={0}");
	return authorities;
}

@Bean
AuthenticationManager authenticationManager(BaseLdapPathContextSource contextSource, LdapAuthoritiesPopulator authorities) {
	LdapBindAuthenticationManagerFactory factory = new LdapBindAuthenticationManagerFactory(contextSource);
	factory.setUserDnPatterns("uid={0},ou=people");
	factory.setLdapAuthoritiesPopulator(authorities);
	return factory.createAuthenticationManager();
}
<ldap-authentication-provider
	user-dn-pattern="uid={0},ou=people"
	group-search-filter="member={0}"/>
@Bean
fun authorities(contextSource: BaseLdapPathContextSource): LdapAuthoritiesPopulator {
    val groupSearchBase = ""
    val authorities = DefaultLdapAuthoritiesPopulator(contextSource, groupSearchBase)
    authorities.setGroupSearchFilter("member={0}")
    return authorities
}

@Bean
fun authenticationManager(
    contextSource: BaseLdapPathContextSource,
    authorities: LdapAuthoritiesPopulator): AuthenticationManager {
    val factory = LdapBindAuthenticationManagerFactory(contextSource)
    factory.setUserDnPatterns("uid={0},ou=people")
    factory.setLdapAuthoritiesPopulator(authorities)
    return factory.createAuthenticationManager()
}

Active Directory

Active Directory 支持其自身非标准身份验证选项,正常的用法模式与标准 LdapAuthenticationProvider 并不能很好地配合。通常,身份验证通过使用域用户名(以 user@domain 的形式)来执行,而不是使用 LDAP 识别名称。为了简化此操作,Spring Security 有一个针对典型 Active Directory 设置自定义的认证提供者。

配置 ActiveDirectoryLdapAuthenticationProvider 非常简单。您只需提供域名和一个 LDAP URL,该 URL 提供服务器地址。

还可以使用 DNS 查找来获取服务器的 IP 地址。这目前尚不受支持,但未来版本中可能会支持。

下列示例配置活动目录:

Example Active Directory Configuration

  • Java

  • XML

  • Kotlin

@Bean
ActiveDirectoryLdapAuthenticationProvider authenticationProvider() {
	return new ActiveDirectoryLdapAuthenticationProvider("example.com", "ldap://company.example.com/");
}
<bean id="authenticationProvider"
        class="org.springframework.security.ldap.authentication.ad.ActiveDirectoryLdapAuthenticationProvider">
	<constructor-arg value="example.com" />
	<constructor-arg value="ldap://company.example.com/" />
</bean>
@Bean
fun authenticationProvider(): ActiveDirectoryLdapAuthenticationProvider {
    return ActiveDirectoryLdapAuthenticationProvider("example.com", "ldap://company.example.com/")
}