Vetsina nasich klientu pouziva Active Directory. Integrace Java aplikace s AD pres LDAP je standardni pozadavek — a prekvapive casto bolestny.
JNDI zaklady¶
Vzdy LDAPS (port 636), nikdy plain LDAP. Servisni ucet s minimalnimi opravnenimi pro bind. Vyhledani uzivatele podle sAMAccountName, ziskani DN, bind s heslem uzivatele.
Autorizace pres AD skupiny¶
Mapovani AD skupin na aplikacni role. Pozor na nested groups — potrebujete LDAP_MATCHING_RULE_IN_CHAIN filtr pro rekurzivni dotaz.
Spring Security LDAP¶
Pro nove projekty preferujeme Spring Security LDAP modul — par radku XML konfigurace. Vyrazne jednodussi nez rucni JNDI.
Typicke problemy¶
Connection timeout s fallback na sekundarni AD. Referrals opatrne. Ceske znaky — overit UTF-8 dekodovani.
Zaverem¶
LDAPS, servisni ucet, kontrola stavu uctu a spravne mapovani skupin — to jsou zaklady. Spring Security vyrazne zjednodusuje implementaci.