OpenAM Tomcat J2EE授權代理配置

Question

我想使用OpenAM將授權配置到在Tomcat 6中進行的測試webapp。最終的目標/用例是這樣的：

• 用戶bob屬於集團的員工

• 用戶John屬於組經理

• 只有員工和管理人員可以訪問employee.jsp頁面

• 只有管理人員可以訪問manager.jsp頁面

我發現大量關於證書的文檔並在我的環境中正確配置。 在登錄之前，我可以訪問'public'頁面（不是強制配置的uri），但只要嘗試訪問像「employee.jsp」這樣的受保護頁面，我就會重定向到OpenAM的登錄模塊，並且必須認證。我可以認證爲屬於組員工（後援用戶存儲是活動目錄）的bob，但在重定向後，我仍然拒絕訪問。我該如何配置訪問？爲保護此資源而部署的策略代理是j2ee_agent。網絡代理看起來更相關，但我收集到的是將j2ee代理部署到Tomcat。有什麼想法嗎？

謝謝。

環境：

• Web應用部署到Tomcat 6上演的Windows 2008服務器上，與AD
部署在相同的Tomcat 6實例與配置
• J2EE策略代理服務器集中
• openam服務器上的獨立linux box部署在jboss 7中，使用Windows 2008 Server AD作爲用戶存儲。

Answer 1

J2EE代理支持J2EE策略。在OpenAM使用的數據存儲中，您必須將組分配給您選擇的用戶。

OpenAM將從該'數據存儲組'中抽象並構建和'OpenAM組'。

您必須在部署容器特定的部署描述符中將此'OpenAM組'映射到您的J2EE角色。

J2EE代理模式應該是'J2EE_POLICY'或'ALL'（後者要求在OpenAM中配置URL策略）。

您可以查看隨J2EE代理提供的agentsample web-app。

此外，代理程序調試日誌（級別設置爲'消息'）會告訴你是否以及如何完成映射。