Zuordnen von Active Directory-Gruppen zu GeoServer-Rollen

8

Ich versuche, Mitgliedern einer Active Directory-Gruppe die GeoServer ADMIN-Rolle zuzuweisen. Ich habe die Dokumentation hier und hier befolgt . Meine Active Directory-Benutzer können sich erfolgreich anmelden, aber die Mitglieder meiner Active Directory-Administratorgruppe erhalten in GeoServer keine ADMIN-Berechtigungen.

Gibt es ein Problem mit meiner Konfiguration (unten)?

Ich habe viele, viele andere Filterwerte ohne Erfolg ausprobiert. Auch wenn Sie keine Lösung anbieten können , lassen mich Kommentare von Personen, die Active Directory-Gruppen in GeoServer erfolgreich verwendet haben, wissen, dass die Funktionalität wie dokumentiert funktioniert.


Hier sind meine LDAP-Autorisierungseinstellungen in GeoServer (Werte für die öffentliche Veröffentlichung wurden geändert, aber die allgemeine Struktur ist korrekt):

Verwenden Sie LDAP-Gruppen zur Autorisierung: checked
Binden Sie den Benutzer, bevor Sie nach Gruppen checked
suchen: OU=Groups,OU=Department,OU=Company Name,DC=domain,DC=com
Gruppensuchbasis : Gruppensuchfilter:(member={1}) wobei {1} anscheinend der vollständige definierte Name des Benutzers ist.
Gruppe, die als ADMIN verwendet werden soll: GeoServer Admins
Gruppe, die als GROUP_ADMIN verwendet werden soll: GeoServer Admins

Wenn ich ein LDAP-Dienstprogramm (Softerra LDAP Administrator) verwende, geben die folgenden Einstellungen die Gruppen eines Benutzers erfolgreich zurück:

Such-DN: OU=Groups,OU=Department,OU=Company Name,DC=domain,DC=com
Filter: (member=CN=Firstname Lastname,OU=Users,OU=Department,OU=Company Name,DC=domain,DC=com)

(Ich habe keinen LDAP-Rollendienst in GeoServer eingerichtet, glaube aber nicht, dass ich dies tun muss, wenn ich einfach eine AD-Gruppe der ADMIN-Rolle in GeoServer zuordnen möchte.)

xcer
quelle
Und selbst wenn Sie für diese spezielle Situation keine Lösung empfehlen können, bin ich gespannt, ob jemand Active Directory-Gruppen für die Arbeit mit GeoServer gewonnen hat.
Xcer
Haben Sie das GeoServer- Dokument überprüft ?
Simogeo
1
Ich habe die Frage aktualisiert, um besser zu erklären, dass ich die GeoServer-Dokumentation überprüft habe.
Xcer

Antworten:

1

Ich habe dies hier auf einem Testserver eingerichtet und zum Laufen gebracht.

Ein Problem, das ich in Ihrer Frage sehe: Das Dokument sagt, dass die "Gruppensuchbasis" "CN = Benutzer" sein sollte. Diese Einstellung funktioniert gut für mich. Sie haben etwas anderes in Ihrer Konfiguration. Ich denke, die Einstellungen, die Sie anzeigen, beziehen sich auf das Beispiel-LDAP-Setup in den Dokumenten. Es gibt auch einen speziellen Abschnitt zu Active Directory mit LDAP, in dem dieser Parameter enthalten ist.

Ich denke auch, dass der Parameter "Gruppensuchfilter" "member = {1}, dc = domain, dc-com" sein sollte.

Wenn Sie lediglich die Administratorrolle einer AD-Gruppe zuweisen möchten, müssen Sie nicht den LDAP-Rollendienst hinzufügen, sondern nur den LDAP-Authentifizierungsanbieter.

Außerdem stieß ich auf das von Ihnen beschriebene Problem, konnte mich anmelden, erhielt jedoch keine Administratorrechte für Geoserver. Was es für mich gelöst hat, war ein Neustart des Webservers. Unter Ubuntu habe ich:

sudo service tomcat7 restart

Und nur zu Ihrer Information, ich habe Geoserver über die Boundless Geosuite mit apt-get unter Ubuntu 14.04 installiert. Ich habe AD eingerichtet und es funktioniert, damit ich mich anmelden kann, und ich habe eine Gruppe als Administratorgruppe eingerichtet, was auch funktioniert.

PhilippNagel
quelle