Active Directory и пользовательская интеграция базы данных OpenLDAP
Следуя за ответом @deutsch, Tomcat не должен работать как корень на UNIX. При установке его от пакета, например, tomcat6 об/мин для Fedora / CentOS / Red Hat это будет работать как пользовательский кот с ограниченным набором полномочий.
Однако я соглашаюсь с последним абзацем @Deutsch; используйте Apache в качестве фронтэнда к Tomcat, если Вы не младше очень строгого крайнего срока, который будет развернут. Даже если Вы еще не настолько знакомы с ним, легко получить основное развертывание, идущее с mod_proxy перед Tomcat, и Вы почти наверняка извлечете выгоду из увеличенной гибкости и безопасности по линии.
В аналогичной ситуации я решил установить DLL-фильтр паролей на каждом контроллере домена Active Directory, который улавливал все изменения паролей и затем вставлял их в мою синхронизированную систему. Я использовал passwdhk , и он работал нормально; он зарегистрирует себя для событий смены пароля, а затем передаст событие внешней программе или сценарию, который вы укажете. Единственное серьезное предостережение, которое у меня есть, заключается в том, что вы должны быть осторожны с тем, какой сценарий или программу вы запускаете, поскольку у них будет доступ к паролям в виде открытого текста (например, вам не нужен сценарий, который сбрасывает и печатает трассировку стека с пароль в нем, если кто-то использует неправильный символ).
Мы исследовали несколько других решений, в том числе:
Можно сделать керберизацию входа в Linux. Таким образом, пароль будет отправлен в AD, а вся остальная информация будет получена из LDAP. Здесь он работает, но у меня под рукой нет скриптов.