1.需要的包(除了Spring Security的包)
spring-ldap-1.2.1.jar(1.2.1+)
ldapbp.jar
commons-lang-2.4.jar
注:spring-ldap不能用1.2版本,1.2中AbstractContextSource.createContext是包级私有的,spring security的DefaultSpringSecurityContextSource继承了AbstractContextSource并需要访问该方法。在1.2.1版本中,这个方法是受保护的。
2.配置文件:
(1)服务器配置
外部ldap服务器,指明服务的地址,用户名和密码
<ldap-server url="ldap://localhost:389/dc=springframework,dc=org"
manager-dn = "cn=root" manager-password = "111111"/>
内部嵌入式ldap服务器(依赖于apache ds的包),指定根和要导入的ldif文件的路径
<ldap-server root="dc=springframework,dc=org" ldif="classpath:users.ldif" />
(2)认证提供者配置
<ldap-authentication-provider user-search-filter="(uid={0})" user-search-base="ou=people" group-search-filter = "(member={0})" group-search-base="ou=groups"/>
(3)UserDetailService配置(只有启用了remember-me过滤器,才需要配置user-service)
<ldap-user-service user-search-filter="(uid={0})" user-search-base="ou=people"/>
3.认证和授权信息的指定(都存放在ldap中)
(1)认证信息:
用户名(从匹配模式中获取)
user-dn-pattern:用户dn的模式
user-search-filter:用户名的模式
user-search-base:用户查找的base
用户口令
如果使用bind认证,不需要知道LDAP中的口令属性名称。如果使用密码比较的认证方式,需要指定用户口令对应的属性名,缺省的属性名是userPassword。
(2)授权信息:
group-role-attribute:用户权限的属性名称(默认是cn)
group-search-filter:用户权限的模式
group-search-base:权限超找的base
role-prefix:权限前缀,默认是"ROLE_",如果不需要可以设置成"none"。
4.一个配置文件的示例
<beans:beans xmlns="http://www.springframework.org/schema/security"
xmlns:beans="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-2.0.xsd
http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-2.0.1.xsd">
<http auto-config="true">
<intercept-url pattern="/secure.html" access="ROLE_USER" />
<intercept-url pattern="/extremesecure.html" access="ROLE_ADMIN" />
</http>
<!--
Usernames/Passwords are
rod/koala
dianne/emu
scott/wombat
-->
<ldap-server url="ldap://localhost:389/dc=springframework,dc=org"/>
<ldap-authentication-provider user-search-filter="(uid={0})" user-search-base="ou=people"
group-search-filter = "(member={0})" group-search-base="ou=groups"/>
<!-- remember-me需要使用,如果没有开启remeber-me Filter,可以不配置user-service -->
<ldap-user-service user-search-filter="(uid={0})" user-search-base="ou=people"
group-search-filter = "(member={0})" group-search-base="ou=groups"/>
</beans:beans>