我正在使用 Jespa 进行透明的 ntlm 登录。我希望能够对多个 Windows 域中的用户进行身份验证。我让它与一个域一起工作。如何添加另一个?
谢谢
问问题
2067 次
1 回答
1
我向 ioplex 支持提出了这个问题。他们给了我一个很好的答案。这里是:
“只有链中的第一个元素可以执行 SSO,因为一旦 HttpSecurityService 向浏览器挑战第一个域的信息,浏览器就无法为不同的域重新开始。至少不能在同一个请求中。理想情况下,如果浏览器在初始 NTLM 令牌中提交了它自己的域名,但不幸的是它根本没有。
我们实际上得到了很多这个问题。在我们看来,处理这个问题的最佳方法是创建一个自定义过滤器,该过滤器创建多个 HttpSecurityService 实例 - 每个域一个。然后,您有一个并行的网络掩码列表,可用于通过远程 IP 地址将客户端与正确的 HttpSecurityService 实例进行匹配。或者您可以使用任何您想要的方法来识别客户端,例如浏览器签名。或者您可以使用 cookie 来识别理想的域,但在这种情况下,用户必须做一些事情来获取 cookie(例如手动登录一次)。你明白我的意思吗?
请注意,如果 AD 域具有信任关系,则 SSO 应该仅适用于一个 HttpSecurityService 实例。仅当域没有信任关系时,才需要上述解决方案。”
于 2011-09-06T23:00:05.340 回答