Weblogic Ver. 10.3.3
JXplorer Ver. 3.2.1
Weblogic不愧为企业级应用服务器,面向企业级应用最常见的需求之一,Weblogic在安装完成后即附带了一个Embedded LDAP,用于认证/授权/凭证匹配及角色匹配等。本文主要对Weblogic Embedded LDAP进行探索,包括Embedded LDAP的管理、结构…..
重设Embedded LDAP密码
使用LDAP Browser浏览Embedded LDAP,首选需要取得Embedded LDAP的密码。对于全新创建的Weblogic domian以及不了解当前Embedded LDAP密码的domain,需要重设Embedded LDAP的密码。
登入目标domain的console,选择domain > 安全 > 嵌入式LDAP
重设身份证明密码即可
使用JXplorer登录Embedded LDAP
下载JXplorer,这里使用的版本为3.2.1
运行JXplorer,连接Embedded LDAP
填写信息如下
- Host 为 weblogic服务器地址
- Port 为 AdminServer端口号
- Protocol 选择 LDAP v3
- Base DN 填写 dc=<目标domain名称>
- Security Level 选择 User + Password
- User DN 填写 cn=Admin
- Password 填写 之前重设的Embedded LDAP密码若登录信息正确,登录之后能看到类似如下的内容
Embedded LDAP结构
通过查看Embedded LDAP结构可以得到,weblogic使用这样的结构存储安全相关信息:
dc=<domain名称>
└─ou=myrealm (安全域)
├─ou=groups (安全域 > 用户和组 > 组)
│ ├─cn=<组名>
│ ├─cn=<组名>
│ ├─cn=<组名>
│ …
├─ou=people (安全域 > 用户和组 > 用户)
│ ├─cn=<用户名>
│ ├─cn=<用户名>
│ ├─cn=<用户名>
│ …
├─ou=XACMLAuthorization (策略,可在domain / managed server / realm多个级别设定)
│ └─ou=policies
│ └─ …
└─ou=XACMLRole (角色,可在domain / managed server / realm多个级别设定)
└─ou=policies
└─ …
cn=weblogic, ou=people, ou=myrealm, dc=owc_domain
该节点为用户weblogic,查看该节点可知weblogic中user具有如下class
inetOrgPerson
organizationalPerson
person
top
wlsUser
类person, prganizationalPerson, inetOrgPerson为用户增加了多数常用属性,并可供应用读写。
cn=Administrators,ou=groups,ou=myrealm,dc=owc_domain
该节点为组Administrators,查看该节点可知weblogic中group具有如下class
top
groupOfUniqueNames
groupOfURLs
类groupOfURLs引入了MemberURL属性,关于ldap url,参见这篇文章。