0

用户针对启用了 Java Kerberos 的 SSO 应用程序进行身份验证时存在问题。当 Windows 发送名称类型为 NT-ENTERPRISE 而不是 NT-PRINCIPAL 时,似乎登录失败。

我查看了 javax.security.auth.kerberos.KerberosPrincipal,似乎不支持 NT-ENTERPRISE 类型。我们能做些什么?有没有办法阻止 Windows 使用该类型?

我们只有一个境界,所以我不知道为什么还要使用这种类型。此外,此问题仅影响某些客户端。

4

1 回答 1

1

Java 不支持企业主体格式。这实际上并不重要。当客户端提供服务票据时,KDC 总是将 eUPN 转换为 iUPN,因此 Kerberos 总是使用隐式 UPN。

注意:Windows 默认会这样做。MIT Kerberos 要求canonicalizetrue.

于 2012-10-29T20:05:27.317 回答