Discussion :

[Taigong62]

Bonjour à tous et meilleurs vœux !

Je penche toujours sur mon application Java EE que je dois héberger sur mon serveur dédié application.

Comme cette application sera utilisée par plusieurs utilisateurs différents, je veux utiliser un système de login-mdp (je découvre un peu comment l'utiliser avec JEE-JSF-JPA en ce moment).

Il faut donc savoir qu'un utilisateur de mon application aura le même login que sur sa session Windows. Or pour ne pas avoir à changer 50x son mot de passe, j'aurais souhaité utiliser si possible le mot de passe Windows pour mon application sans avoir à l'enregistrer dans ma base de données.

J'avais parlé il y a quelques temps à un développeur en .NET qui réussissait à le faire (d'après un login il réussissait à savoir quel mdp devait être rentré, qui était le mdp de session Windows). Est ce que cette technologie existe en JEE et si oui pouvez-vous m'expliquer comment l'utiliser ?

Merci d'avance et n'hésitez pas à me posez des questions si je ne suis pas assez clair !

Techs : Java EE 7, Glassfish 4, JSF 2.2* (+Primefaces), JPA (EclipseLink)

[Cafeinoman]

Salut,

si t'es postes Windows passent par un serveur Active Directoire, jette un oeil du côté de kerberos, qui à priori est fait pour ce que tu veux et qui s'intègre bien aux serveurs d'applications. Après, je ne l'ai jamais utilisé, et ça n'a pas l'air des plus simple...

[Ceddoc]

Oui en effet si tu as un serveur Active Directory/LDAP tu as différentes technos Celle ci (JNDI) par exemple aussi

[tchize_]

Salut,

si t'es postes Windows passent par un serveur Active Directoire, jette un oeil du côté de kerberos,

Kerberos est assez chiant à mettre en place pour un serveur J2EE, tu ne sort cette artillerie que si tu veux du single sign-on (à savoir le fait d'être authentifié sur la machine fait que tu n'a plus besoin de t'authentifier sur l'appli web).

Par contre, si tu veux juste récupérer l'authentification windows mais toujours demander un mot de passer, il suffit d'utiliser l'active directory comme un LDAP et de faire de l'authentification LDAP dans ton conteneur web

[Taigong62]

Effectivement, j'utilise un bean de session qui vérifie lors d'une connexion si l'utilisateur existe pour l'instant pour mon appli. Je voudrais donc à chaque connexion redemander le mot de passe à l'utilisateur, pas besoin d'être connecté automatiquement à chaque ouverture de session.

LDAP semble donc être le meilleur choix.

Cependant, l'entreprise dans laquelle je fais mon stage a un réseau interne (donc ce sont avec les pc du reseau que l'on se connecte à sa session). Mon appli sera quant à elle hébergée sur un serveur dédié (un serveur Glassfish installé sur mon serveur). Je voulais donc savoir si je pourrai donc récupérer les infos du mot de passe avec LDAP avec cette organisation ?

Merci d'avance

[tchize_]

Tu dois t'assurer que l'entreprise dispose d'un Active directory pour authentifier ces utilisateurs. Ce sera vraisemblablement le cas, mais à confirmer (y en a encore en entreprise qui utilisent du mot de passe local).

Si c'est le cas,

-> tu rajoute des security constraint dans ton web.xml
-> tu suis la doc de ton conteneur J2EE pour le brancher sur un LDAP. Tout ce que fera le conteneur c'est prendre le login / password tappé par l'utilisateur, les envoyer au LDAP en luis posant la question "c'est bon, je peux rentrer, tu me connait?". Jamais le ldap n'enverra le mot de passe

[Ceddoc]

T envoyer au LDAP en luis posant la question "c'est bon, je peux rentrer, tu me connait?". Jamais le ldap n'enverra le mot de passe

Le LDAP sera accessible de l'extérieur? Il faudra mettre des règles de routages ou quoi au minimum non?

[Taigong62]

J'essaie de trouver des exemples d'utilisations de cette méthode (avec le mdp Windows) dans une appli qui utilise JSF, mais ca m'a l'air compliqué par rapport au "gain" que j'en tirerais (le fait que les opérateurs n'aient pas à changer de mdp).

[tchize_]

Ben non, c'est pas plus compliqué qu'une configuration LDAP, puisque active directory est un LDAP


http://docs.oracle.com/cd/E19182-01/...epj/index.html

Après faut mettre les bonnes valeurs dans les champs, qui correspondent à ton active directory (baseDN, groupDN, ...)