Apache Brooklyn和LDAP与Microsoft Active Directory的对比

Question

我正在尝试将Apache Brooklyn配置为对Windows Active Directory使用LDAPSecurityProvider。

我正在测试与Apache Directory Studio的连接，它使用提供的凭据工作。Screenshot of Apache Directory Studio and the LDAP tree，但当我将Apache Brooklyn配置为对AD使用LDAP时，它不起作用，也不会创建错误日志。

我的brooklyn属性文件在这里：

brooklyn.webconsole.security.provider=org.apache.brooklyn.rest.security.provider.LdapSecurityProvider
brooklyn.webconsole.security.ldap.url=ldap://10.0.20.10:389/????X-BIND-USER=uid=StackAdmin%2cou=users,X-BIND-PASSWORD=Password123,X-COUNT-LIMIT=1000
brooklyn.webconsole.security.ldap.realm=example.com

Answer 1

http://brooklyn.apache.org/v/latest/ops/brooklyn_properties.html#ldap上记录了LDAP支持-您的示例配置看起来很好(与之非常相似)。

然而，文档说它将构建类似如下的东西：

LDAP://cn=John Smith,ou=Users,dc=example,dc=com

( "ou“值是可配置的)。

看看你的屏幕截图，你似乎需要下面这样的东西(尽管它没有展开以查看完整的用户示例)：

LDAP://cn=John Smith,cn=Users,dc=example,dc=com

不幸的是，这在布鲁克林目前还不受支持。

解决办法是将用户存储在"ou“接口下。

LDAP集成代码非常简单(日志记录很少)：https://github.com/apache/incubator-brooklyn/blob/master/brooklyn-server/rest/rest-server/src/main/java/org/apache/brooklyn/rest/security/provider/LdapSecurityProvider.java

更新Java以支持您的用例是相当容易的。

你是想尝试为它创建一个拉取请求(https://github.com/apache/incubator-brooklyn/)，还是想在https://issues.apache.org/jira/browse/BROOKLYN上打开一个jira问题来描述需求，然后有人可以看一下？

Answer 2

我遇到了同样的问题，并通过为ActiveDirectory创建自己的LdapSecurityProvider解决了这个问题。创建一个扩展org.apache.brooklyn.rest.security.provider.LdapSecurityProvider并覆盖getUserDN方法的新类。

布鲁克林使用com.sun.jndi.ldap.LdapCtxFactory，因此您可以在http://docs.oracle.com/javase/7/docs/technotes/guides/jndi/jndi-ldap.html下找到详细的文档