LDAP интеграция: ошибка для пользователей, входящих по ключу

urjadovaa · 23.11.2020 10:01:38

Коллеги, добрый день!
Успешно подключили ldap-addon к нашему приложению, соединение установить удалось. После этого часть пользователей успешно логинится в приложение с windows паролем (эти пользователи автоматически добавляются в таблицу users).
А часть - не может залогиниться… Похоже, у этих пользователей в LDAP выставлен флаг “логон только по пин-коду ключа”.
Подскажите, как корректно настроить приложение, чтобы оно работало для входа пользователей и по паролю из LDAP и по пин-коду ключа eTocken?
Похоже на то, что надо прописывать некое Ldap matching custom rule… может есть какие-то готовые варианты?..

Ниже описание ошибки:

java.lang.RuntimeException: Can't map isDisabled attribute from ldap. Attribute value: 544
	at com.haulmont.addon.ldap.core.utils.LdapHelper.mapDisabledProperty(LdapHelper.java:102)
	at com.haulmont.addon.ldap.core.utils.LdapHelper.mapLdapUser(LdapHelper.java:69)
	at com.haulmont.addon.ldap.core.utils.LdapUserMapper.mapFromContext(LdapUserMapper.java:37)
	at com.haulmont.addon.ldap.core.utils.LdapUserMapper.mapFromContext(LdapUserMapper.java:26)
	at org.springframework.ldap.core.ContextMapperCallbackHandler.getObjectFromNameClassPair(ContextMapperCallbackHandler.java:69)
	at org.springframework.ldap.core.CollectingNameClassPairCallbackHandler.handleNameClassPair(CollectingNameClassPairCallbackHandler.java:50)
	at org.springframework.ldap.core.LdapTemplate.search(LdapTemplate.java:367)
	at org.springframework.ldap.core.LdapTemplate.search(LdapTemplate.java:309)
	at org.springframework.ldap.core.LdapTemplate.search(LdapTemplate.java:642)
	at org.springframework.ldap.core.LdapTemplate.search(LdapTemplate.java:578)
	at org.springframework.ldap.core.LdapTemplate.search(LdapTemplate.java:1617)
	at com.haulmont.addon.ldap.core.dao.LdapUserDao.searchUserContextSourceBase(LdapUserDao.java:108)
	at com.haulmont.addon.ldap.core.dao.LdapUserDao.getLdapUser(LdapUserDao.java:89)
	at com.haulmont.addon.ldap.core.service.UserSynchronizationServiceBean.lambda$synchronizeUser$0(UserSynchronizationServiceBean.java:105)
	at java.base/java.util.Optional.orElseGet(Optional.java:369)
	at com.haulmont.addon.ldap.core.service.UserSynchronizationServiceBean.orElseGet(UserSynchronizationServiceBean.java:154)
	at com.haulmont.addon.ldap.core.service.UserSynchronizationServiceBean.synchronizeUser(UserSynchronizationServiceBean.java:105)
	at java.base/jdk.internal.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
	at java.base/jdk.internal.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)
	at java.base/jdk.internal.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
	at java.base/java.lang.reflect.Method.invoke(Method.java:566)
	at org.springframework.aop.support.AopUtils.invokeJoinpointUsingReflection(AopUtils.java:344)
	at org.springframework.aop.framework.ReflectiveMethodInvocation.invokeJoinpoint(ReflectiveMethodInvocation.java:198)
	at org.springframework.aop.framework.ReflectiveMethodInvocation.proceed(ReflectiveMethodInvocation.java:163)
	at org.springframework.aop.aspectj.MethodInvocationProceedingJoinPoint.proceed(MethodInvocationProceedingJoinPoint.java:88)
	at com.haulmont.cuba.core.sys.ServiceInterceptor.aroundInvoke(ServiceInterceptor.java:90)
	at jdk.internal.reflect.GeneratedMethodAccessor120.invoke(Unknown Source)
	at java.base/jdk.internal.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
	at java.base/java.lang.reflect.Method.invoke(Method.java:566)
	at org.springframework.aop.aspectj.AbstractAspectJAdvice.invokeAdviceMethodWithGivenArgs(AbstractAspectJAdvice.java:644)
	at org.springframework.aop.aspectj.AbstractAspectJAdvice.invokeAdviceMethod(AbstractAspectJAdvice.java:633)
	at org.springframework.aop.aspectj.AspectJAroundAdvice.invoke(AspectJAroundAdvice.java:70)
	at org.springframework.aop.framework.ReflectiveMethodInvocation.proceed(ReflectiveMethodInvocation.java:175)
	at org.springframework.aop.interceptor.ExposeInvocationInterceptor.invoke(ExposeInvocationInterceptor.java:95)
	at org.springframework.aop.framework.ReflectiveMethodInvocation.proceed(ReflectiveMethodInvocation.java:186)
	at org.springframework.aop.framework.JdkDynamicAopProxy.invoke(JdkDynamicAopProxy.java:212)
	at com.sun.proxy.$Proxy282.synchronizeUser(Unknown Source)
	at java.base/jdk.internal.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
	at java.base/jdk.internal.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)
	at java.base/jdk.internal.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
	at java.base/java.lang.reflect.Method.invoke(Method.java:566)
	at com.haulmont.cuba.core.sys.remoting.LocalServiceInvokerImpl.invoke(LocalServiceInvokerImpl.java:94)
	at com.haulmont.cuba.web.sys.remoting.LocalServiceProxy$LocalServiceInvocationHandler.invoke(LocalServiceProxy.java:159)
	at com.sun.proxy.$Proxy68.synchronizeUser(Unknown Source)
	at com.haulmont.addon.ldap.web.security.ldapcomponent.LdapAddonLoginProvider.login(LdapAddonLoginProvider.java:97)
	at com.haulmont.cuba.web.security.ConnectionImpl.loginInternal(ConnectionImpl.java:192)
	at com.haulmont.cuba.web.security.ConnectionImpl.login(ConnectionImpl.java:91)
	at com.haulmont.cuba.web.security.LoginScreenAuthDelegate.doLogin(LoginScreenAuthDelegate.java:148)
	at com.haulmont.cuba.web.app.login.LoginScreen.doLogin(LoginScreen.java:275)
	at com.haulmont.cuba.web.app.login.LoginScreen.doLogin(LoginScreen.java:243)
	at com.haulmont.cuba.web.app.login.LoginScreen.login(LoginScreen.java:213)
	at java.base/jdk.internal.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
	at java.base/jdk.internal.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)
	at java.base/jdk.internal.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
	at java.base/java.lang.reflect.Method.invoke(Method.java:566)
	at com.haulmont.cuba.gui.xml.DeclarativeAction.actionPerform(DeclarativeAction.java:101)
	at com.haulmont.cuba.web.gui.components.WebFrameActionsHolder.handleAction(WebFrameActionsHolder.java:160)
	at com.vaadin.event.ActionManager.handleAction(ActionManager.java:252)
	at com.vaadin.event.ActionManager.handleActions(ActionManager.java:235)
	at com.haulmont.cuba.web.widgets.CubaOrderedActionsLayout.changeVariables(CubaOrderedActionsLayout.java:88)
	at com.vaadin.server.communication.ServerRpcHandler.changeVariables(ServerRpcHandler.java:611)
	at com.vaadin.server.communication.ServerRpcHandler.handleInvocation(ServerRpcHandler.java:457)
	at com.vaadin.server.communication.ServerRpcHandler.handleInvocations(ServerRpcHandler.java:400)
	at com.vaadin.server.communication.ServerRpcHandler.handleRpc(ServerRpcHandler.java:260)
	at com.vaadin.server.communication.UidlRequestHandler.synchronizedHandleRequest(UidlRequestHandler.java:82)
	at com.vaadin.server.SynchronizedRequestHandler.handleRequest(SynchronizedRequestHandler.java:40)
	at com.vaadin.server.VaadinService.handleRequest(VaadinService.java:1578)
	at com.vaadin.server.VaadinServlet.service(VaadinServlet.java:425)
	at com.haulmont.cuba.web.sys.CubaApplicationServlet.serviceAppRequest(CubaApplicationServlet.java:329)
	at com.haulmont.cuba.web.sys.CubaApplicationServlet.service(CubaApplicationServlet.java:215)
	at javax.servlet.http.HttpServlet.service(HttpServlet.java:733)
	at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:231)
	at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:166)
	at org.apache.tomcat.websocket.server.WsFilter.doFilter(WsFilter.java:53)
	at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:193)
	at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:166)
	at org.springframework.web.filter.CompositeFilter$VirtualFilterChain.doFilter(CompositeFilter.java:108)
	at org.springframework.web.filter.CompositeFilter.doFilter(CompositeFilter.java:74)
	at com.haulmont.cuba.web.sys.CubaHttpFilter.doFilter(CubaHttpFilter.java:93)
	at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:193)
	at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:166)
	at org.apache.catalina.core.StandardWrapperValve.invoke(StandardWrapperValve.java:202)
	at org.apache.catalina.core.StandardContextValve.invoke(StandardContextValve.java:97)
	at org.apache.catalina.authenticator.AuthenticatorBase.invoke(AuthenticatorBase.java:541)
	at org.apache.catalina.core.StandardHostValve.invoke(StandardHostValve.java:143)
	at org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java:92)
	at org.apache.catalina.valves.AbstractAccessLogValve.invoke(AbstractAccessLogValve.java:690)
	at org.apache.catalina.core.StandardEngineValve.invoke(StandardEngineValve.java:78)
	at org.apache.catalina.connector.CoyoteAdapter.service(CoyoteAdapter.java:343)
	at org.apache.coyote.http11.Http11Processor.service(Http11Processor.java:374)
	at org.apache.coyote.AbstractProcessorLight.process(AbstractProcessorLight.java:65)
	at org.apache.coyote.AbstractProtocol$ConnectionHandler.process(AbstractProtocol.java:868)
	at org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1590)
	at org.apache.tomcat.util.net.SocketProcessorBase.run(SocketProcessorBase.java:49)
	at java.base/java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1128)
	at java.base/java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:628)
	at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)
	at java.base/java.lang.Thread.run(Thread.java:834)

shalyganov · 24.11.2020 10:14:47

Добрый день, Андрей!

Судя по описанию ошибки, пользователю удалось аутентифицироваться в LDAP, а проблема возникла уже на маппинге LDAP-атрибутов, в частности UserAccountControl. Значение этого атрибута (544) говорит о том, что учетная запись пользователя активна, и для нее не требуется пароль. Получается некоторое противоречие: пароль не требуется, но пользователь аутентифицировался именно по паролю. Или тут вместо пароля использовался пин-код eToken?
С другой стороны, метод в аддоне, где произошла указанная ошибка, должен был только выяснить, активна ли учетная запись пользователя или нет. Такая информация была (запись активна), но аддон не смог корректно обработать данный кейс.
В связи с этим пока не совсем понятно, проблема ли это аддона или настроек учетной записи LDAP.

urjadovaa · 24.11.2020 11:00:17

Глеб, добрый день!
Да - вместо пароля (при входе в windows) такие пользователи используют пин-код eToken.
Мне кажется тут с обоих сторон имеется некорректность… И в настройках учетных записей в нашем LDAP и в самом Addon.
Нам надо понять, как с этим быть…

shalyganov · 24.11.2020 13:43:33

В любом случае, аддон в данной ситуации осуществляет проверку не совсем корректно, поэтому я завел тикет: https://github.com/cuba-platform/ldap-addon/issues/96.
Постараемся поправить в ближайшее время.

urjadovaa · 25.11.2020 06:06:06

Глеб, спасибо!
Ждём с нетерпением исправления… И всё же, какие ваши рекомендации по использованию аддона а нашей ситуации, когда часть пользователей входит с пин-кодом ключа eToken?