跳到主要內容

LdapAuthenticationProvider - Support Secure connection

Introduction

前一篇文章中,告訴大家如何使用LdapAuthenticationProvider去透過LDAP server做驗證。然而驗證動作透過明文傳遞資料是非常不安全的,有心人士隨便就可以竊取你的帳號密碼。如果今天包是出在你的軟體上,客戶會對你們的軟體失去信心(幹譙是一定的)。因此本篇主要告訴大家,如何透過安全連線做驗證。

How to?

首先需要注意的是這幾個名詞: SSL、TLS與StartTLS。

  • SSL與TLS: 使用ldaps,通常port為636,為加密連線。TLS是用來取代SSL的;一般用於client-server溝通,如https。
  • StartTLS: 使用ldap,通常port為389,是非加密連線的擴充。連線時會透過定義好的溝通方式,將連線升級為加密連線,可以是SSL也可以是TLS;一般用於server內部溝通。

TLS和StartTLS非常容易混淆,甚至認為它是同種東西。像LdapAdmin、Linux、Cisco Firesight等就是把StartTLS當TLS,而Apache Studio、SonicWall是稱為StartTLS或StartTLS extension。

SSL

要使用SSL只要將protocol改為ldaps並注意使用的port即可,我分別以驗證成功與失敗做例子:

@Test
public void testSSL(){
	LdapContextSource contextSource = new LdapContextSource();
	contextSource.setUrl("ldaps://192.168.1.13:636");
	contextSource.setBase("dc=testldap,dc=org");
	contextSource.setUserDn("cn=admin,dc=testldap,dc=org");
	contextSource.setPassword("123456");
	contextSource.afterPropertiesSet();
 
	LdapAuthenticationProvider provider = createProvider(contextSource);
 
	UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken("tonylin", "123456");
	try {
		Authentication ret = provider.authenticate(token);
		Collection<? extends GrantedAuthority> authorities = ret.getAuthorities();
		assertEquals(1, authorities.size());
		assertEquals("mis", authorities.toArray(new GrantedAuthority[0])[0].getAuthority());
	} catch( Exception e ){
		fail();
	}
 
	token = new UsernamePasswordAuthenticationToken("tonylin", "12345678");
	try {
		 provider.authenticate(token);
		 fail();
	} catch( BadCredentialsException e ){
		assertEquals("Bad credentials", e.getMessage());
	}
}
 
private LdapAuthenticationProvider createProvider(LdapContextSource contextSource){
	FilterBasedLdapUserSearch userSearch = new FilterBasedLdapUserSearch("ou=sw", "uid={0}", contextSource);
	BindAuthenticator authenticator = new BindAuthenticator(contextSource);
	authenticator.setUserSearch(userSearch);
 
	DefaultLdapAuthoritiesPopulator authoritiesPopulator = new DefaultLdapAuthoritiesPopulator(contextSource, "ou=sw");
 
	authoritiesPopulator.setGroupSearchFilter("uniqueMember={0}");
	authoritiesPopulator.setConvertToUpperCase(false);
	authoritiesPopulator.setRolePrefix("");
	authoritiesPopulator.setSearchSubtree(true);
 
	return new LdapAuthenticationProvider(authenticator, authoritiesPopulator);	
}

StartTLS

Spring提供了DefaultTlsDirContextAuthenticationStrategy讓你可以輕鬆使用TLS,當然也可以不透過它自己使用JNDI達到目的。與SSL的不同在於,DefaultTlsDirContextAuthenticationStrategy在做handshake後,會做hostname的verify,為了測試我們透過override setHostnameVerifier去跳過;而在驗證錯誤時,會是接到AuthenticationException的例外:

@Test
public void testTLS(){
	LdapContextSource contextSource = new LdapContextSource();
	contextSource.setUrl("ldap://192.168.1.13:389");
	contextSource.setBase("dc=testldap,dc=org");
	contextSource.setUserDn("cn=admin,dc=testldap,dc=org");
	contextSource.setPassword("123456");
 
	DefaultTlsDirContextAuthenticationStrategy strategy = new DefaultTlsDirContextAuthenticationStrategy();
	strategy.setHostnameVerifier((hostname, sslsession) -> {
		return true;
	});
	contextSource.setAuthenticationStrategy(strategy);
	contextSource.afterPropertiesSet();
 
	LdapAuthenticationProvider provider = createProvider(contextSource);
 
	UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken("tonylin", "123456");
	try {
		Authentication ret = provider.authenticate(token);
		Collection<? extends GrantedAuthority> authorities = ret.getAuthorities();
		assertEquals(1, authorities.size());
		assertEquals("mis", authorities.toArray(new GrantedAuthority[0])[0].getAuthority());
	} catch( Exception e ){
		fail(e.getMessage());
	}
 
	token = new UsernamePasswordAuthenticationToken("tonylin", "12345678");
	try {
	 	provider.authenticate(token);
	 	fail();
	} catch( AuthenticationException e ){
		assertTrue(e.getMessage().contains("Invalid Credentials"));
	}
}

如果在連不到LDAP server的情況下,通常都要等待20秒。我們可以透過以下方式去調整連線與從Server讀取資料的timeout:

Map<String,Object> baseEnv = new HashMap<>();
baseEnv.put("com.sun.jndi.ldap.read.timeout", "1000");
baseEnv.put("com.sun.jndi.ldap.connect.timeout", "1000");
 
contextSource.setBaseEnvironmentProperties(baseEnv);

如果出現TLS already started的錯誤,這可能是spring connection pool造成的,可以透過設定以下flag取消pool暫時解決;使用ldaps+StartTLS也會有一樣問題。

ldapContextSource.setCacheEnvironmentProperties(false);
ldapContextSource.setPooled(false);

最後

除了以上內容外,還有些議題沒特別說明:

  • SSL + VerifyHostname: Hostname驗證是為了抵禦中間人攻擊,因此SSL應也需要Hostname驗證。目前我已經有做法可以解決。
  • Disable Connection Pool: Connection Pool是為了減少重建連線的Effort,但目前Spring的StartTLS並無法正常使用。

這些議題有機會再研究與分享。

Reference

留言

這個網誌中的熱門文章

解決RobotFramework從3.1.2升級到3.2.2之後,Choose File突然會整個Hand住的問題

考慮到自動測試環境的維護,我們很久以前就使用java去執行robot framework。前陣子開始處理從3.1.2升級到3.2.2的事情,主要先把明確的runtime語法錯誤與deprecate item處理好,這部分內容可以參考: link 。 直到最近才發現,透過SeleniumLibrary執行Choose File去上傳檔案的動作,會導致測試案例timeout。本篇文章主要分享心路歷程與解決方法,我也送了一條issue給robot framework: link 。 我的環境如下: RobotFramework: 3.2.2 Selenium: 3.141.0 SeleniumLibrary: 3.3.1 Remote Selenium Version: selenium-server-standalone-3.141.59 首先並非所有Choose File的動作都會hang住,有些測試案例是可以執行的,但是上傳一個作業系統ISO檔案一定會發生問題。後來我透過wireshark去比對新舊版本的上傳動作,因為我使用 Remote Selenium ,所以Selenium會先把檔案透過REST API發送到Remote Selenium Server上。從下圖我們可以發現,在3.2.2的最後一個TCP封包,比3.1.2大概少了500個bytes。 於是就開始了我trace code之路。包含SeleniumLibrary產生要送給Remote Selenium Server的request內容,還有HTTP Content-Length的計算,我都確認過沒有問題。 最後發現問題是出在socket API的使用上,就是下圖的這支code: 最後發現可能因為開始使用nio的方式送資料,但沒處理到尚未送完的資料內容,而導致發生問題。加一個loop去做計算就可以解決了。 最後我有把解法提供給robot framework官方,在他們出新的版本之前,我是將改完的_socket.py放在我們自己的Lib底下,好讓我們測試可以正常進行。(shutil.py應該也是為了解某個bug而產生的樣子..)

第一次寫MIB就上手

SNMP(Simple Network Management Protocol)是用來管理網路設備的一種Protocol,我對它的認識也是從工作接觸開始。雖說是管理網路設備,但是主機、電源供應器、RAID等也都可以透過它來做管理。如果你做了一個應用程式,當然所有的操作也都可以透過SNMP來完成,不過可能會很痛苦。前陣子遇到一個學弟,它告訴我說:「我可能不會想寫程式。」為什麼? 因為這是他痛苦的根源。 在這篇文章中,不是要告訴你SNMP是什麼,會看這篇文章的大哥們,應該已經對SNMP有些認識了。 是的!主題是MIB(Management information base)! 對於一個3th-party的SNMP oid,有MIB可以幫助你去了解它所提供的資訊是什麼,且可以對它做什麼操作。最近我運氣很好剛好做到關於修改MIB的工作,也讓我順便了解一下它的語法,接下來我要交給大家MIB的基礎認識。 smidump 我並非使用什麼高強的Editor去編寫MIB,我僅透過Nodepad++編輯和smidump編譯而已。smidump是Kay教我使用的一個將MIB module轉成樹狀結構或oid列表的工具,唯一的缺點是不會告訴你哪一行打錯。當然有錢直接買編輯樹狀結構的工具就可以不需要了解語法了! 安裝 在Ubuntu上可先輸入smidump確認是否安裝,如果沒安裝可透過apt-get install libsmi2ldbl安裝。(CentOS可以透過yum install libsmi) root@tonylin:~/multi-boot-server# smidump The program 'smidump' is currently not installed. You can install it by typing: apt-get install libsmi2ldbl 使用 透過下面兩行指令,就可以將mib file產生出對應的tree與oid列表的檔案。也可以透過這個結果確認MIB是不是你想要的。 smidump -f tree example1.mib > xtree.txt smidump -f identifiers example1.mib > xiden.txt 如果有參考其它檔案要加上p的參數: smidum...

Windows DLL - 32-bit dll with 64-bit driver

前言 在64-bit作業系統上所使用的驅動程式,一定是64-bit,然而應用程式卻可能是32或64-bit。當32-bit應用程式傳值給驅動程式時是有可能會發生溢位的。主要原因是32與64-bit指標所佔用記憶體長度的不同。接下來我將透過Reference 1中的程式PhyMem,來告訴大家問題在哪與如何修改。(最後改完的程式碼恕我不提供) PhyMem介紹 這是一個中國人寫的程式。作用與WinIO相同,可以存取windows的io port與physical memory。這個程式包含pmdll、driver與test三個專案,分別產生dll、sys與exe。作者僅提供32-bit的版本,但只要修改編譯設定就可以讓它產生出64-bit的artifact。但如同我前言所說,如果你是32-bit的dll要存取64的sys該怎麼辦? 可以規定User在64-bit的OS用64-bit的應用程式就好了阿! 但是將一個32-bit應用程式改為64-bit的有這麼簡單嗎? 除此之外,中間傳遞的資料型態也會影響到正常功能。 設定driver專案 我開發環境是VC2008與DDK6000,下載Reference1的專案是無法直接編譯的,可以參考我的設定去修改編譯、連結參數。輸出檔可以看個人需求,根據32或64命名,或者是用同一個檔案名稱。 32-bit C/C++ > 一般 > 其它Include目錄($(DDKROOT)為設定於環境變數的DDK安裝目錄): $(DDKROOT)\inc\ddk";"$(DDKROOT)\inc\api";"$(DDKROOT)\inc\crt";"$(DDKROOT)\inc\crt\gl";"$(DDKROOT)\inc\crt\sys" 連結器 > 一般 > 其它程式庫目錄: $(DDKROOT)\lib\wnet\i386。 連結器 > 資訊清單檔: 將產生資訊清單與UAC選擇否,因為這不適用於driver。 連結器 > 進階 > 隨機化的基底位置: 選擇預設。 64-bit Reference1僅提供32-bit設定。64-bit可在建置>組態管理員中,新增x64平台,而設定檔可從win32複製過來修...