WeblogicServer绑定AD认证

1，构造一个干净的域，域名为domain002
\o[p,u/o02，构造该域里面的用户51Testing软件测试网5Zj8GJAVQ/@1c
weblogicThe default administration user DefaultAuthenticator
TI PE dn"\p0user0001weblogicDefaultAuthenticator51Testing软件测试网{'avwQ l)Su:@sbq
user0002 user0002 DefaultAuthenticator
S}7KS/r Jct A03，建立一个组，weblogicAdmin，同时在AD中也建立一个这样的组
B:W5Y!kZ0注意，在AD中的users而不是Builtin里面建组，因为两者的DN是不一样的。
.M4eC"m)G*z04，将所有Weblogic中的user0001用户都加入到改组。51Testing软件测试网PH6l[ M3i.A5H(I
5，测试AD的可连接性，下载一个LDAP Browser。51Testing软件测试网2F'M%d'p&z ay
6，在WeblogicConsole中的Security->Realm的Authentication配置一个新的LDAP Provider，类型为：Configure a new Active Directory Authenticator...51Testing软件测试网g l EL?6ql
x
7，配置参数：
7k8y"S|9[ l-O0i) 转到Active Directory那一Tab,看到HOST了吧？
#v5l|&Nl0Mv0HOST为你的AD的IP或者主机名，AD默认端口是389
eo1j S#]-wAE5d0ii) Principal为CN=user0001,CN=Users,DC=dlsvr,DC=com
/@4JaC#JR:m0其中，DC=dlsvr,DC=com为我的服务器的RootDN（例如DC=ibm，DC=com）
nN&D Sp)H?(y e
y-x$A0很讨厌AD的一个地方是它采用与其他LDAP不一样的命名方法，他用CN=User而不是OU=....，所以我前面的步骤才需要建立一个welogicAdmin的组。51Testing软件测试网'Mt:iC*V pYW V
iii)Credential为AD中user0001的密码。
DHF A n vi0注意：ii)和iii)是用于连接AD用的，构造一个LDAPConnection需要用户名密码的，懂不懂：）51Testing软件测试网g+VMw0G!\X5p"W
转到user tab51Testing软件测试网W$a,NY%?A{SY
iv) User Name Attribute：user0001
_HA V*HDITsh:_0v) User Base DN：CN=Users,DC=dlsvr,DC=com
$OaU0AY6a2M$l0转到group tab51Testing软件测试网 {XU({!h
vi) Group Base DN:CN=weblogicAdmin,CN=Users,DC=dlsvr,DC=com
U)Gj;d.Yy;p0vii)weblogicAdmin51Testing软件测试网 Rs fjT?
保存51Testing软件测试网%D^&A
]%M ZUh,Y
关键的步骤到了：
@h/lV_Q0Security->Realms->myrealm->Providers->Authentication51Testing软件测试网O(`#Dx"e
N
有没有看到Re-order the Configured Authentication Providers
s2xJ`l(o:U5J;Z0对，就是这里需要调整一下顺序。
/k1PtlbDUr0把ActiveDirectoryAuthenticator调整到最上面（优先级最高）51Testing软件测试网1hv+oOY
然后设置ActiveDirectoryAuthenticator的General页里面的Control Flag为Required。51Testing软件测试网xa-w0~~zif,]
接着DefaultAuthenticator里面的设成是OPTIONAL。
/J-S*B
W&E~ P?2Y0于是，AD取代了以前的DefaultAuthenticator了，如果两个都Requried，那么也你要接受双重认证，汗......一般不需要这样。51Testing软件测试网-dSQ&[Qd
注意:boot.properties里面的默认的Weblogic启动账号同样受AD影响，你如果在AD里面禁止了Weblogic这个账号，我保证你WLS启动不了