用于授权的OpenAM Tomcat J2EE代理配置

Question

我想使用OpenAM将授权配置到Tomcat 6中的测试webapp中。最终目标/用例应该类似于：

• 用户bob属于集团员工。
• 用户john属于组经理。
• 只有员工和经理才能访问employee.jsp页面
• 只有管理人员才能访问manager.jsp页面。

我在身份验证部分找到了大量的文档，并在我的环境中正确地配置了这些文档。在登录之前，我可以访问'public‘页面(不是强制的uri's，我已经配置了)，但是一旦我尝试访问像"employee.jsp“这样的受保护的页面，我就会被重定向到OpenAM的登录模块，并且必须进行身份验证。我可以作为属于组employee (后台用户存储是一个活动目录)的bob进行身份验证，但是在重定向之后，我仍然会被拒绝访问。如何配置访问权限？为保护此资源而部署的策略代理是一个j2ee_agent。web代理似乎更相关，但我发现j2ee代理是为Tomcat部署的。有什么想法吗？

谢谢。

环境：

• webapp部署在装有AD的Windows 2008服务器上的tomcat 6中
• 部署在同一个tomcat 6实例中的j2ee策略代理，配置集中在服务器上
• openam服务器部署在JBoss7中的一个单独的linux盒上，使用Windows2008ServerAD作为用户存储。

Answer 1

J2EE代理支持J2EE策略。在OpenAM使用的数据存储中，您必须将组分配给您选择的用户。

OpenAM将从该“数据存储组”中抽象出来，并构建和“OpenAM组”。

您必须在特定于部署容器的部署描述符中为这个“OpenAM组”配置到您的J2EE角色的映射。

J2EE代理模式应该是“J2EE_POLICY”或“ALL”(后者要求在OpenAM中配置url策略)。

您可以查看与J2EE代理一起交付的代理示例web应用程序。

此外，代理调试日志(级别设置为“message”)将告诉您映射是否以及如何完成。