Liferay 的单点登录绝对是个难啃的骨头,更何况网上能搜到的基本都是些滥竽充数的文章,很不负责任。

于是在自己搭通单点登录一条线之后,决定整理下思路并写出来,希望各位能别重蹈覆辙。

本文不介绍概念。仅仅注重实现

软件版本号:

Liferay : 6.1.1 CE GA2

OpenLdap for Windows :openldap-2.4.38-x86

Apache Directory Studio : Apache Directory Studio 2.0.0-M3

CAS : cas-server-3.5.2

Windows : 7 x64

第一篇 OpenLDAP

不再讲述 LDAP 概念,仅仅需知道 OpenLDAP 是 LDAP 协议的几个主流实现之中的一个,重点是介绍怎样在 windows 平台上安装和配置 OpenLDAP。

下载

openLDAP官方站点:http://www.openldap.org/

openLDAP官网仅仅提供了linux平台的相关安装文件,windows平台的安装包能够到下面一些站点下载:

http://www.userbooster.de/download/openldap-for-windows.aspx

http://sourceforge.jp/projects/openldapwin32/releases/

http://sourceforge.net/projects/openldapwindows/files/

http://sourceforge.net/projects/openldapwindows/(本文所用的版本号)



以上四个地址中第一个安装完毕之后 LDAP server 启动总是异常,并没有详细分析原因,直接卸载安装最后一个链接中的版本号,好使。

安装

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvUGFyYW5vaWRfQW5kcm9pZA==/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast" alt="">


一路点击 next 就可以,注意默认的 backend engine 为 BDB,意思也就是 LDAP 使用 BDB 存储数据,能够依据需求自行配置如 SQL Server 等。

安装完毕之后找到安装路径下的E:\OpenLDAP\etc\openldap。打开slapd.conf,替换整个内容为

include   ../etc/openldap/schema/core.schema

include   ../etc/openldap/schema/cosine.schema

include   ../etc/openldap/schema/inetorgperson.schema

pidfile ../var/run/slapd.pid

loglevel  -1

moduleload back_bdb.la

database bdb

suffix "dc=example, dc=com"

rootdn "cn=jimbob, dc=example, dc=com"

rootpw dirtysecret

directory       ../var/openldap-data

# Indices to maintain for this directory

# unique id so equality match only

index uid eq

# allows general searching on commonname, givenname and email

index cn,gn,mail eq,sub

# allows multiple variants on surname searching

index sn eq,sub

# sub above includes subintial,subany,subfinal

# optimise department searches

index ou eq

# if searches will include objectClass uncomment following

# index objectClass eq

# shows use of default index parameter

index default eq,sub

# indices missing - uses default eq,sub

index telephonenumber

# other database parameters

# read more in slapd.conf reference section

cachesize 10000

checkpoint 128 15

当中



suffix "dc=example, dc=com"
能够理解为整个 LDAP 的跟文件夹地址。能够自行配置

rootdn "cn=jimbob, dc=example, dc=com" rootpw dirtysecret
管理员用户的 DN 以及password,能够自行配置

directory       ../var/openldap-data
LDAP 数据库文件夹


至于其它參数我临时也不关心是什么意思。

启动 LDAP server

这个安装版本号中。不须要通过命令行启动,開始菜单里找到 OpenLDAP。并启动



看到例如以下内容就算是启动成功了



一般教程到这里都会提示须要新建个 .ldif 文件,用来加入用户或者组织,事实上刚開始大可不必纠结于这个文件以及里面的语法。由于全然能够使用 LDAP 可视化工具完毕相同的工作。

但毕竟写文档。这部分还是得写。

LDIF 文件

DIT 结构 – 例如以下图,能够理解为LDAP 的结构文件夹,就比方 Java Web应用的文件夹。



在E:\OpenLDAP 文件夹创建demo.ldif 文件。粘贴下面的 内容,用来创建 DIT 结构。并加入用户

dn: dc=example,dc=com

dc: example

description: text whatever you want for description

objectClass: dcObject

objectClass: organization

o: Example, Inc.

dn: ou=people, dc=example,dc=com

ou: people

description: All people in organisation

objectclass: organizationalunit

dn: cn=Robert Smith,ou=people,dc=example,dc=com

objectclass: inetOrgPerson

cn: Robert Smith

sn: smith

uid: rjsmith

userpassword: rJsmitH

mail: rsmith@example.com

description: swell guy

ou: Human Resources

在E:\OpenLDAP\bin文件夹下输入下面指令用来导入 LDIF 文件。为什么要到这个文件夹。由于这个文件夹底下有ldapadd.exe,不然使用 ldapadd 指令会提示提示:’ldapadd’ 不是内部或外部命令。也不是可执行的程序或批处理文件

ldapadd -x -D "cn=jimbob,dc=example,dc=com" -f ./mydemo.ldif -w dirtysecret

接下来通过下面search 指令确认是否导入成功

ldapsearch -x -b "dc=example,dc=com" "(objectclass=*)"

LDAP client Apache Directory Studio

LDAP 有多种client,本文使用的是Apache Directory Studio,没什么特别原因,就是认为 Apache 相对照较亲切一点。

下载地址 :http://directory.apache.org/studio/downloads.html

下载最新版的就可以。

安装以及配置步骤能够參考官方文档https://directory.apache.org/studio/users-guide/ldap_browser/gettingstarted_download_install.html

左下 Connection 区域点击右键加入 Connection。

注意 OpenLdap 的 Port 为 389。




Bind DN or User :slapd.conf 文件内的rootdn

Bind password : slapd.conf 文件内的rootpw

点解 Check Authentication 确认验证成功


watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvUGFyYW5vaWRfQW5kcm9pZA==/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast" alt="">


之后点击 Finish,配置成功。能够在左側 LDAPBrowser 里看到整个 DIT 结构。


Liferay 配置 LDAP

在 Liferay 的 Crontrol Panel 找到 LDAP 配置界面,点击加入 LDAP Server。

Server Name – 没什么可说的

Default Values – 仅仅有当你想切换 LDAP 工具时。依据详细的 LDAP 实现工具来重置底下全部属性

Connection : 配置用来连接 LDAP server

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvUGFyYW5vaWRfQW5kcm9pZA==/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast" alt="">


Users

User Mapping – 用来映射 LDAP 内 user 属性与 Liferay 内user属性

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvUGFyYW5vaWRfQW5kcm9pZA==/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast" alt="">


Groups – 相应于  LDAP 里的 group

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvUGFyYW5vaWRfQW5kcm9pZA==/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast" alt="">


Export – 这个必须配置,不然无法将 Liferay 用户到处到 LDAP server,导致配置完毕之后, Liferay 用户反而不能成功登录



保存,回到LDAP主界面,确认选择 Enabled 与 Required, Liferay 官方对这两个属性解释例如以下:

ldap.auth.enabled=true

Set ldap.auth.enabled = true to enable LDAP Authentication


ldap.auth.required=true

Setting required = true means that you must successfully bind with the record in the LDAP server before Liferay will allow the user to log in


确认选择 Import / Export



Liferay 官方解释例如以下:

ldap.import.enabled=true

If set to true, then Liferay will do a mass import of users on the specified interval



ldap.import.on.startup=true

If set to true, Liferay will do a mass import of all LDAP users according to the import method (that match the user specified search filter) on startup





ldap.export.enabled=true

If set to true, Liferay will export the user to LDAP. Liferay uses a listener to track any changes made to the User object and will push these changes out to the LDAP server whenever the User object is updated. Note that on every login, fields such as "LastLoginDate"
are updated and so if export is enabled, logging in with a user will export the user to LDAP.

上述步骤仅仅是单点登录的准备工作而已。仅仅要能在 Liferay 配置 LDAP 界面 Test 成功就算是配置正确。




[Liferay] Liferay 实现单点登录 - OpenLDAP的更多相关文章

  1. CAS 单点登录【1】入门

    1. CAS 的引入的前提和好处 很早期的公司,一家公司可能只有一个应用,慢慢的应用开始变多,如员工报销系统.审核系统.学习系统...... 每个应用都要进行注册登录,退出的时候又要一个个退出,用户操 ...

  2. Liferay7.0与cas单点登录配置

    1.简介     Liferay7.0支持多种登录方式,包括:常规的.opensso.cas.ntlm.ldap.openid.Facebook.Google等. 其中, (1) 常规:则是默认Lif ...

  3. SSO单点登录和CAS

    一.单点登录流程 =====客户端====== 1.拦截客户端的请求判断是否有局部的session 2.1如果有局部的session,放行请求. 2.2如果没有局部session 2.2.1请求中有携 ...

  4. Docker 创建 Crowd3.3.2 以及打通 Jira Software7.12.3和Confluence6.12.2 SSO 单点登录

    目录 目录 1.介绍 1.1.什么是Crowd? 2.Crowd 的官网在哪里? 3.如何下载安装? 4.对 Crowd 进行配置 4.1.破解 Crowd 第一步 4.2.破解 Crowd 第二步, ...

  5. Spring Security安全以及单点登录

    1.单点登录:多个系统,只需在一个系统登录以后,其他系统可以直接访问. 2.CAS(认证服务器),Apache Httpd,OpenLdap,OpenSSL(生成证书)几个工具实现 3.原理:登录通过 ...

  6. 轻型目录访问协议 ldap 公司内部网站的登录 单点登录

    https://zh.wikipedia.org/wiki/轻型目录访问协议 轻型目录访问协议(英文:Lightweight Directory Access Protocol,缩写:LDAP,/ˈɛ ...

  7. 著名ERP厂商的SSO单点登录解决方案介绍一

          SSO英文全称Single Sign On,单点登录.SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统.它包括可以将这次主要的登录映射到其他应用中用于同一个用户 ...

  8. 看图理解JWT如何用于单点登录

    单点登录是我比较喜欢的一个技术解决方案,一方面他能够提高产品使用的便利性,另一方面他分离了各个应用都需要的登录服务,对性能以及工作量都有好处.自从上次研究过JWT如何应用于会话管理,加之以前的项目中也 ...

  9. 细说SSO单点登录

    什么是SSO? 如果你已知道,请略过本节! SSO核心意义就一句话:一处登录,处处登录:一处注销,处处注销.即:在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统. 很多人容易把SS ...

随机推荐

  1. opencv inrange 和 mix

    opencv inrange: http://blog.csdn.net/xiaoyufei117122/article/details/53572904 http://blog.csdn.net/w ...

  2. DockerFile的编写和注意的一些知识点

    CMD,RUN,ENTRYPOINT之类的差别. VOLUMN和-V之间的差别. EXPOSE和-P的对应等. 今天上午写了一个脚本,可以传参数进IMAGE,让启动的CONTAINER具有不同的行为. ...

  3. 洛谷 P1583 魔法照片【二级结构体排序】

    题目描述 一共有n(n≤20000)个人(以1--n编号)向佳佳要照片,而佳佳只能把照片给其中的k个人.佳佳按照与他们的关系好坏的程度给每个人赋予了一个初始权值W[i].然后将初始权值从大到小进行排序 ...

  4. RMQ问题心得

    RMQ(Range Minimum/Maximum Query)问题是指:对于长度为n的数列A,回答若干询问RMQ(A,i,j),返回数列A中下标i,j里的最小/大值,即RMQ问题是指求区间最值的问题 ...

  5. UVA Rails(stl-stack)

    具体思路是从B方向的序列 倒推 栈C 的入栈出栈顺序,  以B方向的5,4,3,2,1为例子:从一个数字5开始,要想从栈C拿到5号车厢,5号车厢得入栈C,且5号车厢处于栈顶位置,为了保证5号车  厢在 ...

  6. python url拼接

    import datetime,requests import json,time,urllib import hashlib self.url_domain = “www.baidu,com/” u ...

  7. POJ 3728 The merchant(并查集+DFS)

    [题目链接] http://poj.org/problem?id=3728 [题目大意] 给出一棵树,每个点上都可以交易货物,现在给出某货物在不同点的价格, 问从u到v的路程中,只允许做一次买入和一次 ...

  8. 【动态规划】【记忆化搜索】【dfs】bzoj2748 [HAOI2012]音量调节

    f[i][j]表示第i首歌音量为j是否可能.若是将状态之间建边,那么答案就是max(j){f[i][j]==true&&0<=j<=limit}.于是就是图中dfs一遍判断 ...

  9. 1.2(Mybatis学习笔记)Mybatis核心配置

    一.Mybatis核心对象 1.1SqlSeesionFactory SqlSessionFactory主要作用是创建时SqlSession. SqlSessionFactory可通过SqlSessi ...

  10. 选择改变事件OnCheckedChange

    1.效果图:选择正确的提示选对,选择错误提示选错 2.activity_main.xml <?xml version="1.0" encoding="utf-8&q ...