Discussion :

[ruda.tom]

Bonjour,

nous avons une application sur un weblogic 8.1. Nous avons développé un authenticator pour récupérer les droits de l'utilisateur en base et non dans LDAP.
Nous voulons maintenant installer une 2ème application sur le même serveur mais non aimerions qu'il utilise un autre authenticator. Or d'apres ce que j'ai vu, il n'est pas possible de spécifier dans la console WebLogic que tel authenticator est valable pour telle application. Il me semble pourtant que c'est possible avec JAAS. Et comme WebLogic se base sur JAAS, ça devrait etre possible.
D'apres ce que je peux voir dans la console WebLogic, on définit les authenticators pour le serveur, et donc toutes les applications définies sur ce serveur doivent les utiliser.
Est-ce quelqu'un aurait une solution ?

J'ai une autre petite question à propos de sécurité : nous avons développé un role mapper pour affecter des roles à des users suivant des droits définis dans une base de données. Le role mapper récupère le Subject, boucle sur les Principals, et pour chaque Principals d'un certain type, il ajoute un rôle à l'aide de la méthode suivante :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
roles.put("roleName", new SecurityRoleImpl("roleName"))

Mon problème est que j'ai du mal à faire la différence entre les rôles définis ainsi, les Visitor Roles (qui sont les roles visibles dans l'interface d'administration Portal) et les Global Roles définis dans la console WebLogic.
Du coup je suis pas clair sur la méthode à utiliser dans mes pages pour vérifier qu'un utilisateur à bien le bon role : request.isUserInRole(role) ou le tag <auth:isUserInRole ...>.
Quelqu'un peut-il m'éclairer ?

Merci d'avance

Thomas

[bmoussaud]

La configuration de securité est commune à l'ensemble du domaine Weblogic.
un domaine est composé soit de 1 serveur , soit de n serveurs + 1 serveur d'admin qui héberge la console.
Il faut donc que la politique de sécurité définie pour le domaine soit applicable à l'ensemble des applications déployées sur le domaine.

Une solution à ton pb:
Disons que tu as deux authenticators ATN-APP1 (pour l'application APP1) et ATN-APP2 (APP2).
DAns la console, tu appliques le Control Flag:"SUFFICIENT" pour chacun des deux authenticators. La définition de sufficient est "s'il retourne OK, retour à l'application. S'il echoue il passe la main à l'authenticator suivant"

L'ordre d'appel des authenticators est defini dans la page principale des authenticators (Console->Security->Realm -> MyRealm->Providers->authentication)

Disons que l'ordre est ATN-APP1, ATN-APP2 et l'utilisateur U1 de l'application APP1 et U2 de l'application APP2. et U3 utilisateur ni de APP1 ni de APP2

Lorsque U1 s'authentifie:
1/ ATN-APP1(U1)=true, retour à l'application

Lorsque U2 s'authentifie:
1/ ATN-APP1(U2)=false, continue
2/ ATN-APP2(U2)=true, ok

Lorsque U3 s'authentifie:
1/ ATN-APP1(U3)=false, continue
2/ ATN-APP2(U3)=false, continue
3/ plus d'authenticators: false

En esperant que cela t'aide
benoit moussaud

[ruda.tom]

Notre authenticator est déjà configuré en SUFFICIENT et il est vrai qu'utiliser 2 authenticators ne me pose pas de problème, meme si je trouve dommage qu'on ne puisse pas configurer plus précisement.

En revanche là on ça me pose plus de problème c'est avec le role mapper. Nous avons également besoin d'un role mapper pour notre 2eme application. ça me gene un peu d'utiliser le meme role mapper pour mes 2 applications et je ne vois pas comment ça pourrait marcher avec 2 role mapper puisqu'ils sont forcement utilisés par les 2 applications (il n'y a pas de flag à positionner il me semble).
As-tu une idée ?

Et pour mon probleme de roles ? tu n'as pas d'infos ?

En tout cas, merci pour ton aide.

[*alexandre*]

Il faut définir tes règées d'accès avec ACEGI 'cest une configuration propre à ton context (ici ton application)