1,构造一个干净的域,域名为domain002
\o[ p,u/o02,构造该域里面的用户
51Testing软件测试网5Zj8GJAVQ/@1cweblogicThe default administration user DefaultAuthenticator
TI PE
dn"\p0user0001
weblogicDefaultAuthenticator
51Testing软件测试网{'a vwQ
l)Su:@sbquser0002 user0002 DefaultAuthenticator
S}7KS/r
Jct A03,建立一个组,
weblogicAdmin,同时在AD中也建立一个这样的组
B:W5Y!kZ0注意,在AD中的users而不是Builtin里面建组,因为两者的DN是不一样的。
.M4eC"m)G*z04,将所有
Weblogic中的user0001用户都加入到改组。
51Testing软件测试网PH6l[
M3i.A5H(I5,测试AD的可连接性,下载一个LDAP Browser。
51Testing软件测试网2F'M%d'p&z
ay6,在
WeblogicConsole中的Security->Realm的Authentication配置一个新的LDAP Provider,类型为:Configure a new Active Directory Authenticator...
51Testing软件测试网g l EL?6qlx7,配置参数:
7k8y"S|9[
l-O0i) 转到Active Directory那一Tab,看到HOST了吧?
#v5l|&Nl0Mv0HOST为你的AD的IP或者主机名,AD默认端口是389
eo1j
S#]-wAE5d0ii) Principal为CN=user0001,CN=Users,DC=dlsvr,DC=com
/@4J aC#JR:m0其中,DC=dlsvr,DC=com为我的服务器的RootDN(例如DC=ibm,DC=com)
nN&D Sp)H?(y ey-x$A0很讨厌AD的一个地方是它采用与其他LDAP不一样的命名方法,他用CN=User而不是OU=....,所以我前面的步骤才需要建立一个welogicAdmin的组。
51Testing软件测试网'Mt:iC*V
pYW Viii)Credential为AD中user0001的密码。
DHF
A n vi0注意:ii)和iii)是用于连接AD用的,构造一个LDAPConnection需要用户名密码的,懂不懂:)
51Testing软件测试网g+VMw0G!\X5p"W转到user tab
51Testing软件测试网W$a,NY%?A{ SYiv) User Name Attribute:user0001
_HA
V*HDITsh:_0v) User Base DN:CN=Users,DC=dlsvr,DC=com
$OaU0AY6a2M$l0转到group tab
51Testing软件测试网 {XU({!hvi) Group Base DN:CN=
weblogicAdmin,CN=Users,DC=dlsvr,DC=com
U)Gj;d.Yy;p0vii)
weblogicAdmin
51Testing软件测试网 R s
fjT?保存
51Testing软件测试网%D^&A]%M
ZUh,Y关键的步骤到了:
@h/l V_Q0Security->Realms->myrealm->Providers->Authentication
51Testing软件测试网O(`#Dx"eN有没有看到Re-order the Configured Authentication Providers
s2xJ`l(o:U5J;Z0对,就是这里需要调整一下顺序。
/k1PtlbDUr0把ActiveDirectoryAuthenticator调整到最上面(优先级最高)
51Testing软件测试网1hv+oOY然后设置ActiveDirectoryAuthenticator的General页里面的Control Flag为Required。
51Testing软件测试网xa-w0~~zif,]接着DefaultAuthenticator里面的设成是OPTIONAL。
/J-S*BW&E~ P?2Y0于是,AD取代了以前的DefaultAuthenticator了,如果两个都Requried,那么也你要接受双重认证,汗......一般不需要这样。
51Testing软件测试网-dSQ&[Qd注意:boot.properties里面的默认的
Weblogic启动账号同样受AD影响,你如果在AD里面禁止了
Weblogic这个账号,我保证你WLS启动不了