将 X509 值传递给 LDAP 服务器

Question

我正在努力在我的项目中实施 Spring Security。我需要使用 Spring Security 从证书 CN 中提取的用户名作为 LDAP 服务器上的uid。我不确定解决这个问题的正确方法。我不确定如何将 CN 值从 x509 传递到 LDAP 身份验证器。有没有人做过这个或者有什么想法？

注意：我不需要将整个证书传递给 LDAP 服务器，因为它们没有存储在那里，只有来自 CN 的用户名。

编辑：这是我的 spring security xml 文件中的一些配置：

<http>
    <intercept-url pattern="/**" access="IS_AUTHENTICATED_ANONYMOUSLY" />
    <anonymous />
    <x509 subject-principal-regex="CN=(.*?)," /> <!-- user-service-ref needed? -->
</http>

<ldap-server id="ldapServer" url="ldap://localhost:389/dc=example,dc=com" manager-dn="cn=manager,dc=example,dc=com" manager-password="myPassword" />

<authentication-manager>
    <ldap-authentication-provider
       user-dn-pattern="uid={0},ou=people"
       user-search-filter="(uid={0})"
       user-search-base="ou=people,dc=example,dc=com"
       group-search-filter="(member={0})"
       group-search-base="ou=groups"
       group-role-attribute="cn" />        
</authentication-manager>

Answer 1

您应该使用ldap-user-service。这是来自 Spring Security 测试套件的an example configuration。然后 Spring Security 应该自动替换它从证书 CN 中提取的用户名来代替 LDAP 搜索过滤器中的 {0} 标记。

ldap-authentication-provider 元素用于使用用户名和密码对用户进行身份验证，这在 X.509 中不是您想要的，在 X.509 中，容器对证书的验证被视为执行身份验证。

Spring Security 的 X.509 身份验证过滤器需要一个 UserDetailsService 来为用户加载信息，因此您需要在配置中使用一个。正如in the manual 所解释的，如果只有一个属性，则不需要使用user-service-ref 属性，因此只需添加ldap-user-service 声明就足够了。