Estou tentando conceder a função GeoServer ADMIN a membros de um grupo do Active Directory. Eu segui a documentação aqui e aqui . Meus usuários do Active Directory podem fazer login com êxito, mas os membros do meu grupo de administradores do Active Directory não recebem privilégios de ADMIN no GeoServer.
Existe algum problema com minha configuração (abaixo)?
Eu tentei muitos, muitos outros valores de filtro, sem nenhum sucesso. Mesmo que você não possa oferecer uma solução, os comentários de qualquer pessoa que tenha usado com êxito os grupos do Active Directory no GeoServer me informarão que a funcionalidade funciona conforme documentado.
Aqui estão minhas configurações de Autorização LDAP no GeoServer (os valores foram alterados para postagem pública, mas a estrutura geral é precisa):
Use grupos LDAP para autorização: checked
vincule o usuário antes de procurar grupos: checked
Base de pesquisa de grupo: OU=Groups,OU=Department,OU=Company Name,DC=domain,DC=com
filtro de pesquisa de grupo: (member={1})
onde {1} é aparentemente o nome distinto completo do usuário
Grupo a ser usado como ADMIN: GeoServer Admins
Grupo a ser usado como GROUP_ADMIN: GeoServer Admins
Quando uso um utilitário LDAP (Softerra LDAP Administrator), as seguintes configurações retornam com êxito os grupos de um usuário:
DN de pesquisa: OU=Groups,OU=Department,OU=Company Name,DC=domain,DC=com
Filtro: (member=CN=Firstname Lastname,OU=Users,OU=Department,OU=Company Name,DC=domain,DC=com)
(Eu não configurei um Serviço de Função LDAP no GeoServer, mas acho que não preciso, se quiser simplesmente mapear um grupo do AD para a função ADMIN no GeoServer?)
fonte
Respostas:
Acabei de configurá-lo em um servidor de teste aqui e fazê-lo funcionar.
Um problema que vejo na sua pergunta: o documento diz que a "Base de pesquisa de grupo" deve ser "CN = Usuários". Essa configuração funciona bem para mim. Você tem algo diferente na sua configuração. Eu acho que as configurações que você mostra são para a configuração LDAP de exemplo nos documentos, também há uma seção específica no Active Directory com LDAP, que possui esse parâmetro.
Além disso, acho que o parâmetro "Filtro de pesquisa de grupo" deve ser "member = {1}, dc = domain, dc-com"
Se tudo o que você deseja é atribuir a função Administrador a um grupo AD, não é necessário adicionar o Serviço de Função LDAP, apenas o provedor de Autenticação LDAP.
Além disso, eu estava enfrentando o problema que você descreveu, consegui efetuar login, mas não obtive privilégios de administrador no Geoserver. O que resolveu isso para mim foi reiniciar o servidor da web. No Ubuntu, eu fiz:
E apenas para sua informação, instalei o Geoserver através do Geosuite Boundless com o apt-get no Ubuntu 14.04. Eu configurei o AD e ele funciona para permitir o logon e designei um grupo como grupo de administradores, o que também funciona.
fonte