Weblogic – Active Directory entegrasyonu

Weblogic – Active Directory entegrasyonu

13 Ekim 2015 0 Yazar: Cem Kefeli

Weblogic uygulama sunucusu, yönetim ekranlarına giriş ve giriş sonrası yapılabilecek işler için oldukça esnek olanaklar sağlıyor. Entegre LDAP sunucusu üzerinde manuel olarak yeni kullanıcılar, yeni gruplar oluşturabiliyorsunuz. Bu kullanıcılara dilediğiniz rolleri atayabiliyorsunuz, isterseniz yeni roller oluşturabiliyorsunuz. İsterseniz aynı işlevdeki kullanıcıları bir grup altında toplayarak, grup bazlı yetkilendirme yapabiliyorsunuz. Fakat, bu bahsettiğim işlemler Weblogic’in kendi entegre LDAP yapısı üzerinde yapılan işlemlerdir ve tamamen o Weblogic domainine aittirler. Yani burada yapılan işlemler bir kullanıcıyı ya da bir grubu başka bir yapı üzerinde kullanmak gibi bir hedefle yapılan işlemler değildir. Yalnızca ilgili lokal yapı üzerinde etkilidir bu işlemler.

İşte tam bu aşamada, kullanıcı ve grup bazlı yetkilendirme dediğimizde artık neredeyse her şirkette kullanılan Microsoft Active Directory (AD) yapısı mutlaka aklınıza geliyordur. Basit bir şekilde ifade etmek gerekirse AD üzerinde tanımlı kullanıcılar, gruplar, vb.. merkezi bir yapı üzerinden yönetilirler. Kullanıcı ve grup bilgileri bu merkezi yapı üzerinde saklanır. Eğer aynı AD ile entegre olmuş sistemler varsa, tüm bu sistemlere aynı kullanıcı adı ve şifre ile girilebilir. Bu sistemler üzerinde eğer grup bazlı yetkilendirme yapılmışsa, grup üyelerinin yalnızca AD üzerinde değiştirilmesi tüm sistemlerde senkron bir şekilde etkisini gösterecektir.

Bu yazının ana konusunu oluşturmadığı için AD ile ilgili çok daha detaylı bilgilere MSDN linkinden ulaşabilirsiniz. Bu yazının ana konusunu ise Weblogic yönetim ekranlarının AD ile nasıl entegre edileceği oluşturuyor. Bu entegrasyon sonrası AD kullanıclarıyla ekranlara giriş yapılabilir ve AD grupları seviyesinde de yetkilendirme yapılabilir.

Aşağıdaki adımlar takip edilerek Weblogic için Active Directory entegrasyonu gerçekleştirilebilir;

Yeni oluşturulan Authentication Provider’ın ismi bir önem taşımıyor fakat hangi tür olduğunun belli olması açısından ActiveDirectoryAuthenticator ismi verilebilir.

Yeni tanımlanan provider üzerinden giriş yapılabilmesi için hem DefaultAuthenticator’ın hem de yeni tanımlanan authenticator’ın ‘sufficient’ kontrol türünde olması gerekiyor. Eğer sufficient seçilmezse yalnızca ilk sırada bulunan DefaultAuthenticator üzerinden doğrulama yapılmak istenir ve burada ilgili kullanıcı bulunamayınca bir sonraki authenticator’lar dikkate alınmaz.

HostAD adresi (IP ya da host kaydı olabilir)
PortVarsayılan AD portu 389‘dur.
PrincipalAD sorgusu yapacak kullanıcı için aşağıdaki AD yöneticisinden istenmelidir.

Örnek: CN=
<AD_KullanıcıAdı>,OU=Generic Accounts,DC=<Şirket>,DC=<ŞirketDomain>
Credential
Confirm credential
 AD sorgusu yapacak kullanıcı için şifre.

User Base DNAD sorgusu yapacak kullanıcı için aşağıdaki AD yöneticisinden istenmelidir.

Örnek:  DC=<Şirket>,DC=<ŞirketDomain>
User From Name FilterÖrnek:  (&(sAMAccountName=%u)(objectcategory=user))
User Name AttributeÖrnek:  sAMAccountName
User Object ClassÖrnek:  user

Group Base DNAD sorgusu yapacak kullanıcı için aşağıdaki AD yöneticisinden istenmelidir.

Örnek:  DC=<Şirket>,DC=<ŞirketDomain>
Group From Name FilterÖrnek:  (&(cn=%g)(objectcategory=group))

AD ayarları yapıldıktan sonra değişiklikler aktif edilmeli ve domain re-start edilmelidir.

Kullanıcı ya da grup hangi rol ile yetkilendirilmek isteniyorsa o role ait ‘View Role Conditions’ linki seçilmelidir.

Bu aşamada AD üzerinde tanımlı bir user ya da bir grup kullanılabilir.

Kullanıcı ya da grup yetkilendirmesi yapıldıktan sonra AD kullanıcı adı ve şifresi ile Weblogic yönetim paneline giriş yapılabilir.