Websphere LDAP Spring Security 解析错误

Question

我们有一个自定义 Grails 应用程序，它使用 Spring Security 进行 LDAP 身份验证。用户 DN 包含逗号（例如，“CN=Smith\, John,CN=Users,DC=example,DC=com”），但我们的管理员用户的 DN 不包含逗号（例如，“CN=peadmin,CN=Users,DC =示例，DC=com”）。当我从 Grails 服务器（本质上是 Tomcat）运行应用程序时，一切都验证正常。当我构建 WAR 并部署到 WebSphere AS 7 时，我只能使用 admin 用户登录。我们日志中的异常抱怨意外的逗号，这表明应用程序在 WAS 上运行时未正确解析/转义 DN。

升级到 Spring Security 3.0.4 后，这是我们得到的具体异常消息：

2011-04-07 20:58:41,975 [WebContainer : 0] ERROR controller.LoginController - org.springframework.security.authentication.AuthenticationServiceException: Failed to解析DN；嵌套异常是 org.springframework.ldap.core.ParseException: 在第 1 行第 20 列遇到“”。 本来期待： ...

Answer 1

首先你就是在玩火。永远不要使用 DN 作为任何事物的基础，因为它不是用户的稳定属性。 ie 时它会立即中断。在树中移动用户。对于 AD，您应该使用 samAccountName 并使用 TDS（以及其余大部分）uid。这不会导致您当前的问题，但如果这是您希望继续工作的现实生活应用程序，请开始更改内容，否则您稍后会感到抱歉。

其次，如果您坚持在 LDAP 查询中使用带有特殊字符的逗号，您应该根据 RFC 2254 自行转义它。Tomcat 在返回用户时会为您执行此操作，而 WAS 不会。