Cet article explique comment configurer une authentification Active Directory sur un serveur Oracle Weblogic.
Oracle Weblogic Server est livré avec un fournisseur par défaut.
Un fournisseur va stocker les autorisations, rôles, les crédentials, etc.
Il permet par exemple de définir les connexions à la console d’administration ou des applications déployées.
Il est également possible d’ajouter des fournisseurs supplémentaires.
Dans notre exemple, nous allons configurer un fournisseur de type Active Directory.
Un Active Directory est un annuaire.
Comment créer un nouveau « realm » ?
1. Se connecter à la console d’administration Weblogic
- Se connecter à la console.
- Si vous le l’avez pas fait, il faut éditer votre session « Lock & Edit ».
2. Administrer les fournisseurs
- Aller sur « Security Realms ».
3. Créer un nouveau fournisseur
- Naviguer Security Realms > myrealm > Providers > Authentication
- Cliquer sur le bouton « New » pour ajouter un nouveau fournisseur.
- Entrer le nom du fournisseur ; par exemple « ADAuthenticator ».
- Sélectionner le type « ActiveDirectoryAuthenticator ».
- Cliquer sur « OK ».
4. Configurer les propriétés communes du fournisseur
- Sur la fenêtre du fournisseur, cliquer sur le fournisseur « ADAuthenticator » nouvellement créé.
- Sélectionner l’option « SUFFICIENT »* (voir les choix des options ci-dessous).
- Cliquer sur « Save ».
5. Configurer les propriétés spécifiques du fournisseur
- Sélectionner l’onglet « Provider Specific » pour configurer le fournisseur.
- Définir les valeurs** (voir l’exemple de valeurs ci-dessous).
- Puis cliquer sur « Save ».
6. Prioriser le fournisseur
- Retourner sur l’onglet du fournisseur.
- Réordonner les fournisseur de telle sorte que le fournisseur « ADAuthenticator » soit au dessus de la liste, suivi du « DefaultAuthenticator ».
- Cliquez sur « OK »
7. Activer le fournisseur
- Redémarrer le serveur d’administration et l’ensemble des nœuds managés du domaine.
*Choix des options
- REQUIRED: le fournisseur d’authentification est toujours appelé et l’utilisateur doit toujours réussir son test d’authentification. Que l’authentification réussisse ou échoue, l’authentification se poursuit toujours dans la liste des fournisseurs.
- REQUISITE: l’utilisateur doit réussir le test d’authentification de ce fournisseur d’authentification. Si l’utilisateur réussit le test d’authentification de ce fournisseur d’authentification, les fournisseurs suivants sont exécutés mais peuvent échouer.
- SUFFICIENT: l’utilisateur n’est pas obligé de réussir le test d’authentification du fournisseur d’authentification. Si l’authentification réussit, aucun fournisseur d’authentification ultérieur n’est exécuté. Si l’authentification échoue, l’authentification se poursuit dans la liste des fournisseurs.
- OPTIONAL: l’utilisateur est autorisé à réussir ou échouer le test d’authentification de ce fournisseur d’authentification. Toutefois, si l’indicateur de contrôle JAAS est défini sur OPTIONAL pour tous les fournisseurs d’authentification configurés dans un domaine de sécurité, l’utilisateur doit réussir le test d’authentification de l’un des fournisseurs configurés.
**Exemple de valeurs
Host:Port: 389 Principal: Credential: Confirm Credential: User Base DN: DC= User From Name Filter: User Name Attribute: sAMAccountName (exemple) Use Retrieved User Name as Principal checked Use Token Groups For Group Membership Lookup checked Group Base DN: ;
Testé sur Oracle Weblogic 11g / navigateur en anglais.
