Tomcat与OpenLDAP从配置到应用.docVIP

Tomcat 和 OpenLDAP, 从配置到应用 乎所有的 Java Web 应用都需要某种类型的安全性的控制, 并且这通常会借助于 HYPERLINK /wiki/LDAPLightweight Directory Access Protocol (LDAP) 目录服务来实现. 作为一个开发者，很有必要在本地安装一个 OpenLDAP 和 Web 容器来提高开发效率. 配置 Tomcat 连接到 OpenLDAP 的过程假如你能理解的话，还是很直白的. 这篇文章详细描述了这一配置过程，并用 Apache Jakarta 项目下的标签库 (taglib) 来演示简单的方式去测试这一安全机制.什么是 LDAP? LDAP 对于许多人来说不是几句话就能说清的. 对于本文来讲, 只需理解为是通过用户名和密码对用户进行验证的简单通用协议就够了. 换句话就是, 它提供了一种验证机制. 再进一步讲，它还要验证用户是否允许访问特定应用程序区域. 这是一个鉴权的过程. 验证和鉴权是有明显区别的. 它们并非一回事. 不同的 LDAP 产品在理论上是可互换了. 然而, 还是应该要注意到它们之间配置的不同. 一个 LDAP 目录是由下面那些层级组成树型结构的: 根 (树的源头), 由此产生分支 国家, 每项可有分支 组织, 可有分支 组织单元 (分部, 部门, 片区, 等)., 可有分支 (或是最终节点) 个体. LDAP 目录能通过 Lightweight Directory Interchange Format (LDIF) 文件格式导入或导出它们的内容. LDIF 是一个文本格式的文件，它能用来在 LDAP 之间交换信息, 或者像本文中那样用了它来初始化目录的配置. 由于是开源的, HYPERLINK /OpenLDAP 是许多开发者的首选的目录服务器. OpenLDAP 的安装和配置 下载并安装好了 OpenLDAP 之后, 我们需要对安装目录下的 slapd.conf 文件作些很重要的修改. 首先是要包含 InetOrgPerson 模式. 这个模式里预定义了许多针对网络用户的有用的属性, 包括作为用户登陆用 ID 的 uid 属性. InetOrgPerson 模式依赖于 Cosine 模式, 因此应包含它. ucdata-path C:/openldap/ucdatainclude C:/openldap/etc/schema/core.schemainclude C:/openldap/etc/schema/cosine.schemainclude HYPERLINK /C:/openldap/etc/schema/inetorgperson.schemaC:/openldap/etc/schema/inetorgperson.schema database bdb suffix dc=mycompany,dc=com rootdn cn=Manager,dc=mycompany,dc=com rootpw secretdirectory C:/openldap/var/openldap-dataindex objectClass eq 第二方面的修改是要告诉 OpenLDAP 使用什么类型的数据库和根的识别名及密码是什么. 这是进入城市的钥匙, 所以应该选择并设任何其他的密码. 一旦所有对 slapd.conf 文件修改完毕之后, 就可以启动 OpenLDAP 了. 到命令行下进入到安装目录中(默认是 c:\openldap). 输入命令 .\slapd -d 1, 然后服务器就会启动，界面如图 1. HYPERLINK /images/2005/05/startup.gif 图 1. OpenLDAP 启动后 (点击看全尺寸图) 如果服务器报错后启动失败, 应检查上面说的那两个模式是否已加到 slapd.conf 文件中. 再就是, 假如 OpenLDAP 不是安装在默认目录中, 需检验模式文件的路径是否正确. 一旦服务器起来了, 可以来检验我们的安装. 打开另一个命令行窗口并输入命令 ldapsearch -x -b dc=mycompany,dc=com (objectclass=*). 执行的结果应该像下图 2 那样. HYPERLINK /images/2005/05/ldapsearch.gif 图 2. OpenLDAP 正在工作 (点击看全尺寸图) 要组装一个目录结构, 需导入一个 LDIF 文件. 要写这种格式的文件是非人所愿的, 因此这里准备好了一个 LDIF 文件供下载. 要导入这个文件, 在命令行下执行 ldapadd -x -D cn=Manager,dc=mycompa