WSO2 Identity Server - Active Directoryとの統合 - パスワードの変更

私はWSO2 IS（5.3.0）の最新バージョンでいくつかのテストを行っています。WSO2 Identity Server - Active Directoryとの統合 - パスワードの変更

私はAD統合をセットアップし、Delegated ControlでLDAPバインドアカウントユーザーを設定して、特定のOUとその中のオブジェクトのパスワードをリセットしました。同じLDAPバインドアカウントは、内部/管理者アカウントとしても設定されています。

上記の特定の組織単位内の2人のユーザーのどちらかがログインすると、パスワードを変更できます。私が使用している管理者のアカウントは、パスワードを見つけることはできますが、パスワードを変更することはできません（ADの用語では、パスワードをリセットすることができます）。

私のuser-mgt.xmlは、これは何である

（うまくいけば、私はこれらの十分に消毒しました...）

[2017-08-18 17:00:02,466] DEBUG {org.wso2.carbon.user.core.authorization.JDBCAuthorizationManager} - Authorization cache miss for username : ADMIN resource /permission/admin/manage/identity/usermgt/update action : ui.execute 
[2017-08-18 17:00:02,467] DEBUG {org.wso2.carbon.user.core.authorization.JDBCAuthorizationManager} - Allowed roles for the ResourceID: /permission/admin/manage/identity/usermgt/update Action: ui.execute 
[2017-08-18 17:00:02,467] DEBUG {org.wso2.carbon.user.core.authorization.JDBCAuthorizationManager} - role: INTERNAL/admin 
[2017-08-18 17:00:02,467] DEBUG {org.wso2.carbon.user.core.authorization.JDBCAuthorizationManager} - Roles which have permission for resource : /permission/admin/manage/identity/usermgt/update action : ui.execute 
[2017-08-18 17:00:02,467] DEBUG {org.wso2.carbon.user.core.authorization.JDBCAuthorizationManager} - Role : INTERNAL/admin 
[2017-08-18 17:00:02,467] DEBUG {org.wso2.carbon.user.core.authorization.JDBCAuthorizationManager} - ADMIN user has permitted resource : /permission/admin/manage/identity/usermgt/update, action :ui.execute 
[2017-08-18 17:00:02,468] DEBUG {org.wso2.carbon.user.core.authorization.JDBCAuthorizationManager} - Authorization cache miss for username : username01 resource /permission action : ui.execute 
[2017-08-18 17:00:02,468] DEBUG {org.wso2.carbon.user.core.authorization.JDBCAuthorizationManager} - Allowed roles for the ResourceID: /permission Action: ui.execute 
[2017-08-18 17:00:02,468] DEBUG {org.wso2.carbon.user.core.authorization.JDBCAuthorizationManager} - role: INTERNAL/admin 
[2017-08-18 17:00:02,468] DEBUG {org.wso2.carbon.user.core.authorization.JDBCAuthorizationManager} - Roles which have permission for resource : /permission action : ui.execute 
[2017-08-18 17:00:02,469] DEBUG {org.wso2.carbon.user.core.authorization.JDBCAuthorizationManager} - Role : INTERNAL/admin 
[2017-08-18 17:00:02,469] DEBUG {org.wso2.carbon.user.core.common.AbstractUserStoreManager} - Retrieving internal roles for user name : username01 and search filter * 
[2017-08-18 17:00:02,470] DEBUG {org.wso2.carbon.user.core.ldap.ReadOnlyLDAPUserStoreManager} - Searching for user username01 
[2017-08-18 17:00:02,544] DEBUG {org.wso2.carbon.user.core.ldap.ReadOnlyLDAPUserStoreManager} - Searching for user with SearchFilter: (&(objectClass=person)(sAMAccountName=username01)) in SearchBase: 
[2017-08-18 17:00:02,547] DEBUG {org.wso2.carbon.user.core.ldap.ReadOnlyLDAPUserStoreManager} - Name in space for username01 is CN=USER NAME01,OU=DEPARTMENT,OU=EXAMPLE USERS,DC=EXAMPLE,DC=COM 
[2017-08-18 17:00:02,549] DEBUG {org.wso2.carbon.user.core.ldap.ReadOnlyLDAPUserStoreManager} - User: username01 exist: true 
[2017-08-18 17:00:02,550] DEBUG {org.wso2.carbon.user.core.ldap.ReadOnlyLDAPUserStoreManager} - Escaped DN value for filter : CN=USER NAME01,OU=DEPARTMENT,OU=EXAMPLE USERS,DC=EXAMPLE,DC=COM 
[2017-08-18 17:00:02,550] DEBUG {org.wso2.carbon.user.core.ldap.ReadOnlyLDAPUserStoreManager} - Reading roles with the membershipProperty Property: member 
[2017-08-18 17:00:02,550] DEBUG {org.wso2.carbon.user.core.ldap.ReadOnlyLDAPUserStoreManager} - Result for searchBase: OU=EXAMPLE USERS,DC=EXAMPLE,DC=COM searchFilter: (&(objectcategory=group)(member=CN=USER NAME01,OU=DEPARTMENT,OU=EXAMPLE USERS,DC=EXAMPLE,DC=COM)) property:cn appendDN: false 
[2017-08-18 17:00:02,627] DEBUG {org.wso2.carbon.user.core.authorization.JDBCAuthorizationManager} - username01 user has permitted resource : /permission, action :ui.execute 
[2017-08-18 17:00:02,627] DEBUG {org.wso2.carbon.user.core.authorization.JDBCAuthorizationManager} - username01 user is not Authorized to perform ui.execute on /permission 
[2017-08-18 17:00:02,628] DEBUG {org.wso2.carbon.user.core.authorization.JDBCAuthorizationManager} - Authorization cache miss for username : username01 resource /permission/admin action : ui.execute 
[2017-08-18 17:00:02,628] DEBUG {org.wso2.carbon.user.core.authorization.JDBCAuthorizationManager} - Allowed roles for the ResourceID: /permission/admin Action: ui.execute 
[2017-08-18 17:00:02,628] DEBUG {org.wso2.carbon.user.core.authorization.JDBCAuthorizationManager} - role: INTERNAL/admin 
[2017-08-18 17:00:02,628] DEBUG {org.wso2.carbon.user.core.authorization.JDBCAuthorizationManager} - Roles which have permission for resource : /permission/admin action : ui.execute 
[2017-08-18 17:00:02,628] DEBUG {org.wso2.carbon.user.core.authorization.JDBCAuthorizationManager} - Role : INTERNAL/admin 
[2017-08-18 17:00:02,628] DEBUG {org.wso2.carbon.user.core.authorization.JDBCAuthorizationManager} - username01 user has permitted resource : /permission/admin, action :ui.execute 
[2017-08-18 17:00:02,628] DEBUG {org.wso2.carbon.user.core.authorization.JDBCAuthorizationManager} - username01 user is not Authorized to perform ui.execute on /permission/admin 
[2017-08-18 17:00:02,640] DEBUG {org.wso2.carbon.user.core.ldap.ReadOnlyLDAPUserStoreManager} - Searching for user username01 
[2017-08-18 17:00:02,640] DEBUG {org.wso2.carbon.user.core.ldap.ReadOnlyLDAPUserStoreManager} - value after escaping special characters in username01 : username01 
[2017-08-18 17:00:02,640] DEBUG {org.wso2.carbon.user.core.ldap.ReadOnlyLDAPUserStoreManager} - User: username01 exist: true 
[2017-08-18 17:00:02,681] DEBUG {org.wso2.carbon.user.core.ldap.ActiveDirectoryUserStoreManager} - value after escaping special characters in USER NAME01 : USER NAME01 
[2017-08-18 17:00:02,687] DEBUG {org.wso2.carbon.user.core.ldap.ActiveDirectoryUserStoreManager} - Can not access the directory service for user : username01 
javax.naming.NameNotFoundException: [LDAP: error code 32 - 0000208D: NameErr: DSID-03100238, problem 2001 (NO_OBJECT), data 0, best match of: 
    'OU=EXAMPLE USERS,DC=EXAMPLE,DC=COM' 
]; remaining name 'CN=USER NAME01' 

    ... 

[2017-08-18 17:00:02,970] DEBUG {org.wso2.carbon.user.core.authorization.JDBCAuthorizationManager} - Authorization cache miss for username : ADMIN resource /permission/admin/login action : ui.execute 
[2017-08-18 17:00:02,971] DEBUG {org.wso2.carbon.user.core.authorization.JDBCAuthorizationManager} - Allowed roles for the ResourceID: /permission/admin/login Action: ui.execute 
[2017-08-18 17:00:02,972] DEBUG {org.wso2.carbon.user.core.authorization.JDBCAuthorizationManager} - role: INTERNAL/admin 
[2017-08-18 17:00:02,972] DEBUG {org.wso2.carbon.user.core.authorization.JDBCAuthorizationManager} - role: INTERNAL/everyone 
[2017-08-18 17:00:02,972] DEBUG {org.wso2.carbon.user.core.authorization.JDBCAuthorizationManager} - Roles which have permission for resource : /permission/admin/login action : ui.execute 
[2017-08-18 17:00:02,972] DEBUG {org.wso2.carbon.user.core.authorization.JDBCAuthorizationManager} - Role : INTERNAL/admin 
[2017-08-18 17:00:02,972] DEBUG {org.wso2.carbon.user.core.authorization.JDBCAuthorizationManager} - Role : INTERNAL/everyone 
[2017-08-18 17:00:02,972] DEBUG {org.wso2.carbon.user.core.authorization.JDBCAuthorizationManager} - ADMIN user has permitted resource : /permission/admin/login, action :ui.execute

：

<UserManager> 
    <Realm> 
     <Configuration> 
     <AddAdmin>true</AddAdmin> 
      <AdminRole>admin</AdminRole> 
      <AdminUser> 
       <UserName>ADMIN</UserName> 
       <Password>PASSWORD</Password> 
      </AdminUser> 
      <EveryOneRoleName>everyone</EveryOneRoleName> <!-- By default users in this role sees the registry root --> 
      <Property name="isCascadeDeleteEnabled">false</Property> 
<!-- <Property name="initializeNewClaimManager">true</Property> --> 
      <Property name="dataSource">jdbc/WSO2CarbonDB</Property> 
     </Configuration> 

     <UserStoreManager class="org.wso2.carbon.user.core.ldap.ActiveDirectoryUserStoreManager"> 
      <Property name="TenantManager">org.wso2.carbon.user.core.tenant.CommonHybridLDAPTenantManager</Property> 
      <!-- <Property name="AnonymousBind">false</Property> --> 
      <Property name="BackLinksEnabled">true</Property> 
      <Property name="ConnectionName">CN=ADMIN,OU=DEPARTMENT,OU=USERS,DC=EXAMPLE,DC=COM</Property> 
      <Property name="ConnectionPassword">PASSWORD</Property> 
      <!-- <Property name="ConnectionPoolingEnabled">false</Property> --> 
      <Property name="ConnectionURL">LDAPS://DC.EXAMPLE.COM:636</Property> 
      <Property name="defaultRealmName">EXAMPLE.COM</Property> 
      <Property name="DisplayNameAttribute">sAMAccountName</Property> 
      <Property name="EmptyRolesAllowed">true</Property> 
      <Property name="GroupEntryObjectClass">group</Property> 
      <Property name="GroupNameAttribute">cn</Property> 
      <Property name="GroupNameListFilter">(objectcategory=group)</Property> 
      <Property name="GroupNameSearchFilter">(&amp;(objectClass=group)(cn=?))</Property> 
      <Property name="GroupSearchBase">OU=EXAMPLE GROUPS,DC=EXAMPLE,DC=COM</Property> 
      <Property name="isADLDSRole">false</Property> 
      <Property name="IsBulkImportSupported">false</Property> 
      <Property name="kdcEnabled">false</Property> 
      <Property name="LDAPConnectionTimeout">5000</Property> 
      <Property name="MaxRoleNameListLength">100</Property> 
      <Property name="MaxUserNameListLength">100</Property> 
      <!-- <Property name="MemberOfAttribute">memberOf</Property> --> 
      <Property name="MembershipAttribute">member</Property> 
      <Property name="MultiAttributeSeparator">,</Property> 
      <Property name="PasswordHashMethod">PLAIN_TEXT</Property> 
      <Property name="PasswordJavaRegEx">^[\S]{5,30}$</Property> 
      <!-- <Property name="PasswordJavaRegExViolationErrorMsg">Password length should be within 5 to 30 characters</Property> --> 
      <Property name="PasswordJavaScriptRegEx">^[\S]{5,30}$</Property> 
      <Property name="ReadGroups">true</Property> 
      <Property name="ReadTimeout"/> 
      <Property name="Referral">follow</Property> 
      <Property name="RetryAttempts"/> 
      <Property name="RolenameJavaRegEx">[a-zA-Z0-9._-|//]{3,30}$</Property> 
      <Property name="RolenameJavaScriptRegEx">^[\S]{3,30}$</Property> 
      <Property name="SCIMEnabled">false</Property> 
      <!-- <Property name="userAccountControl">512</Property> --> 
      <Property name="userAccountControl">66048</Property> 
      <Property name="UserEntryObjectClass">user</Property> 
      <Property name="UserNameAttribute">sAMAccountName</Property> 
      <Property name="UsernameJavaRegEx">[a-zA-Z0-9._-|//]{3,30}$</Property> 
      <!-- <Property name="UsernameJavaRegExViolationErrorMsg">Username pattern policy violated</Property> --> 
      <Property name="UsernameJavaScriptRegEx">^[\S]{3,30}$</Property> 
      <Property name="UserNameListFilter">(objectClass=user)</Property> 
      <Property name="UserNameSearchFilter">(&amp;(objectClass=person)(sAMAccountName=?))</Property> 
      <Property name="UserRolesCacheEnabled">true</Property> 
      <Property name="UserSearchBase">OU=EXAMPLE Users,DC=EXAMPLE,DC=COM</Property> 
      <Property name="WriteGroups">false</Property> 
     </UserStoreManager> 

     <AuthorizationManager class="org.wso2.carbon.user.core.authorization.JDBCAuthorizationManager"> 
      <Property name="AdminRoleManagementPermissions">/permission</Property> 
      <Property name="AuthorizationCacheEnabled">true</Property> 
      <Property name="GetAllRolesOfUserEnabled">true</Property> 
     </AuthorizationManager> 
    </Realm> 
</UserManager>

そして、ここでは私のデバッグです：）コメントアウトされている大規模なブロックを削除しましログ

[2017-08-18 17:21:27,471] DEBUG {org.wso2.carbon.user.core.ldap.ReadOnlyLDAPUserStoreManager} - Searching for user username01 
[2017-08-18 17:21:27,472] DEBUG {org.wso2.carbon.user.core.ldap.ReadOnlyLDAPUserStoreManager} - value after escaping special characters in username01 : username01 
[2017-08-18 17:21:27,472] DEBUG {org.wso2.carbon.user.core.ldap.ReadOnlyLDAPUserStoreManager} - User: username01 exist: true 
[2017-08-18 17:21:27,474] DEBUG {org.wso2.carbon.user.core.ldap.ReadOnlyLDAPUserStoreManager} - Searching for user username01 
[2017-08-18 17:21:27,474] DEBUG {org.wso2.carbon.user.core.ldap.ReadOnlyLDAPUserStoreManager} - value after escaping special characters in username01 : username01 
[2017-08-18 17:21:27,474] DEBUG {org.wso2.carbon.user.core.ldap.ReadOnlyLDAPUserStoreManager} - User: username01 exist: true 
[2017-08-18 17:21:27,474] DEBUG {org.wso2.carbon.user.core.ldap.ReadOnlyLDAPUserStoreManager} - Searching for user username01 
[2017-08-18 17:21:27,474] DEBUG {org.wso2.carbon.user.core.ldap.ReadOnlyLDAPUserStoreManager} - value after escaping special characters in username01 : username01 
[2017-08-18 17:21:27,474] DEBUG {org.wso2.carbon.user.core.ldap.ReadOnlyLDAPUserStoreManager} - User: username01 exist: true 
[2017-08-18 17:21:27,534] DEBUG {org.wso2.carbon.user.core.ldap.ReadOnlyLDAPUserStoreManager} - Searching for user with SearchFilter: (&(objectClass=person)(sAMAccountName=username01)) in SearchBase: 
[2017-08-18 17:21:27,535] DEBUG {org.wso2.carbon.user.core.ldap.ReadOnlyLDAPUserStoreManager} - Requesting attribute :ref 
[2017-08-18 17:21:27,547] DEBUG {org.wso2.carbon.user.core.ldap.ReadOnlyLDAPUserStoreManager} - Searching for user username01 
[2017-08-18 17:21:27,547] DEBUG {org.wso2.carbon.user.core.ldap.ReadOnlyLDAPUserStoreManager} - value after escaping special characters in username01 : username01 
[2017-08-18 17:21:27,547] DEBUG {org.wso2.carbon.user.core.ldap.ReadOnlyLDAPUserStoreManager} - User: username01 exist: true 
[2017-08-18 17:21:27,627] DEBUG {org.wso2.carbon.user.core.ldap.ReadOnlyLDAPUserStoreManager} - Searching for user with SearchFilter: (&(objectClass=person)(sAMAccountName=username01)) in SearchBase: 
[2017-08-18 17:21:27,627] DEBUG {org.wso2.carbon.user.core.ldap.ReadOnlyLDAPUserStoreManager} - Requesting attribute :accountLock 
[2017-08-18 17:21:27,632] DEBUG {org.wso2.carbon.user.core.ldap.ReadOnlyLDAPUserStoreManager} - Authenticating user username01 
[2017-08-18 17:21:27,632] DEBUG {org.wso2.carbon.user.core.ldap.ReadOnlyLDAPUserStoreManager} - Cache hit. Using DN CN=USER NAME01,OU=DEPARTMENT,OU=EXAMPLE Users,DC=EXAMPLE,DC=COM 
[2017-08-18 17:21:27,705] DEBUG {org.wso2.carbon.user.core.ldap.ReadOnlyLDAPUserStoreManager} - User: CN=USER NAME01,OU=DEPARTMENT,OU=EXAMPLE Users,DC=EXAMPLE,DC=COM is authnticated: true 
[2017-08-18 17:21:27,712] DEBUG {org.wso2.carbon.user.core.ldap.ReadOnlyLDAPUserStoreManager} - Authenticating user username01 
[2017-08-18 17:21:27,712] DEBUG {org.wso2.carbon.user.core.ldap.ReadOnlyLDAPUserStoreManager} - Cache hit. Using DN CN=USER NAME01,OU=DEPARTMENT,OU=EXAMPLE Users,DC=EXAMPLE,DC=COM 
[2017-08-18 17:21:27,783] DEBUG {org.wso2.carbon.user.core.ldap.ReadOnlyLDAPUserStoreManager} - User: CN=USER NAME01,OU=DEPARTMENT,OU=EXAMPLE Users,DC=EXAMPLE,DC=COM is authnticated: true 
[2017-08-18 17:21:28,031] DEBUG {org.wso2.carbon.user.core.authorization.JDBCAuthorizationManager} - Authorization cache hit. username01 user is not Authorized to perform ui.execute on /permission/admin/manage/identity 
[2017-08-18 17:21:28,031] DEBUG {org.wso2.carbon.user.core.authorization.JDBCAuthorizationManager} - Authorization cache hit. username01 user is not Authorized to perform ui.execute on /permission/admin/manage/identity/usermgt/users 
[2017-08-18 17:21:28,031] DEBUG {org.wso2.carbon.user.core.authorization.JDBCAuthorizationManager} - Authorization cache hit. username01 user is not Authorized to perform ui.execute on /permission/admin/manage/identity/usermgt/passwords 
[2017-08-18 17:21:28,032] DEBUG {org.wso2.carbon.user.core.authorization.JDBCAuthorizationManager} - Authorization cache hit. username01 user is not Authorized to perform ui.execute on /permission/admin/manage/identity/usermgt/profiles

そして私は、パスワードが実際に簡単な操作を実行して、ADに変更を取得しないことを確認しました：：でそれらのユーザーログの1つ、そして成功したがパスワードを変更したときのようになります。Get-ADUser username01 -Properties *

とにかく、誰かが間違っていることを指摘できますか？私たちには、私たちのためのプロダクションバージョンをセットアップしているパートナーと、他の問題を抱えている（それゆえ私自身のローカルバージョンをテストするためにセットアップしています）、彼らは両方のユーザーがログインしてこのADMINユーザーだけでなく、ログインして2人のユーザーのパスワードを変更することができます。

自分のuser-mgt.xmlを自分のローカルインスタンスにコピーしようとしても、それもうまくいきませんでした。プロダクションバージョンは5.1.0だと思いますが、私のバージョンは5.3.0ですが、おそらく関連性があるかもしれません。

ヘルプ？

出典

2017-08-19 amoreno

IS CN = ADMIN、OU = DEPARTMENT、OU = USERS、DC =例、DC = COMユーザーはADで他のユーザーのパスワードを変更する権利を持っています。ベストプラクティスのために、ドメイン制御権を持つユーザーを作成して、もう一度お試しください。

よろしくお願いします。 Tayyab

出典

2017-08-21 06:50:16

です。私の元の記述で述べたように、「私はAD統合を設定し、Delegated Controlを使ってLDAPバインドアカウントのユーザーを設定して、特定のOUとその中のオブジェクトのパスワードをリセットします。私は "パスワードを変更する"ではなく、 "パスワードをリセットする"権限をADに与えていることに注意してください。違いは、 "CHANGE"は個々のユーザー自身のためのものであり、現在のパスワードの知識が必要です。「RESET」は、適切な権限を持つアカウントが、そのユーザーの現在のパスワードを知らない別のアカウントで実行できる管理機能です。 – amoreno

また、このような状況では、ブランケットのDomain Admin権限を与えることをベストプラクティスとみなすべきであるという考え方も拒否しています。このADアカウントをLDAPバインドとパスワード管理に使用しています。したがって、それ以上の権限は必要ありません。ユーザーまたはグループ（WSO2が呼び出すように「ロール」）を作成することは許可していません。問題の同じユーザーアカウントは、パートナーの実装でユーザーのアカウントで「変更」（ADでは「リセット」）機能を実行できますが、*ドメイン管理者特権はありません。自分の設定をテストインスタンスにコピーします。 – amoreno

WSO2 Identity Server - Active Directoryとの統合 - パスワードの変更

答えて

関連する問題