0

我有一个受 SSL 保护的系统 - 客户端使用智能卡来访问他们的证书。我使用java的pkcs11。

我在这里发布了这个问题(即使有赏金): pkcs11 sso(使用以前的 Windows 登录和智能卡)

相同的智能卡用于 Windows 登录 - 我想为客户端节省使用智能卡 (PIN) 重新登录的麻烦。

我读过很多关于这个问题的链接,让我进入了 SSO 的世界:NTLM、Kerberose 等。

我觉得 SSO 对我想要实现的目标来说有点过分了——而且从外观上看——至少 kerberose 要求我创建一个 KDC 服务器和其他新组件,这将延长我的开发时间。

所以 - 关于 SSO 的一些介绍性问题我找不到答案:

  1. 它会真正解决我提出的问题吗?(智能卡包含由 CA 签名的“经典”证书)。

  2. 我想要一个最小的解决方案(就组件而言) - 这是最好的实现?NTLM,Kerberose?我可能不得不使用像 WAFFLE 这样的 jna 包装器,对吧?顺便说一句,我将使用 WINDOWS 作为操作系统。

谢谢您的帮助。

4

1 回答 1

0

唯一的方法是设置一个 Windows Active Directory(一个 KDC impl)以使用 Kerberos 的 SSO 的全部功能。没有其他选择。不要使用 NTLM,它有很多缺点。华夫饼有它的缺点。由于其性质不同,它没有集成到 JGSS 中,因此无法在 Java 中全面使用。如果您想避免 Windows 服务器的许可费用,您可以尝试 Samba 4,它是 AD 的 OSS 替代品。

从 Windows 客户端到基于 Unix 的服务器,我多年来一直在公司环境中这样做。

于 2013-01-09T08:12:31.317 回答