问题标签 [single-sign-on]

我目前正在从事一个跨越多个领域的项目。我想要的是用户能够登录一个站点并同时登录所有其他站点。

用户会话存储在数据库中，我在每个域上设置的 cookie 都包含会话 ID。

所以基本上当用户登录到 example.com 时，会使用他们的会话 ID 创建一个 cookie，会话数据存储在数据库中。完成此操作后，需要在具有此唯一会话 ID 的所有其他域上创建一个 cookie，以便当用户从一个站点到另一个站点时，他们将自动登录。

现在我找到了一种在 Firefox 中执行此操作的方法（使用在其他域上执行 PHP 脚本的图像标签，本质上是在不同域上创建不同的 cookie）但是这种方法在 IE 中不起作用（没有测试过 Opera 或Safari 等）。

有没有人对我如何让它在 IE 中工作有任何想法？

让我们假设我对 Kerberos 了解不多 - 只是基础知识。

我有...

• Debian Linux 2.6 网络服务器
  • 阿帕奇 2.2
    • mod_auth_kerb/5.3
    • PHP/5.2
• 一个（工作的）Kerberos 领域
• 视窗客户端
  • 火狐 3
  • 麻省理工学院网络身份管理器中的登录身份“user@EXAMPLE.COM”

如何在 PHP 脚本中使用此信息，以便在访问者拥有类似的 kerberos 票证时无需登录网站？我不希望 Apache 处理身份验证。我需要找出哪个用户正在通过 PHP 访问该站点。

那可能吗？如果是这样：如何？

到目前为止我发现了什么：我必须在 Firefox 中“启用”域。

然而，仅此而已...

我在尝试配置新安装的 BizTalk Server 2006（不是 R2）时遇到了一个重大问题。该服务器之前安装了 BizTalk，并且运行良好。我已经卸载了 BizTalk，从单独的计算机 SQL 服务器中删除了数据库和作业，然后重新安装了 BizTalk。安装成功，安装过程中没有错误，安装日志中也没有任何内容。

我将 BizTalk 服务器配置为 SSO 主机密服务器，同时创建一个新的 BizTalk 组并注册 BizTalk 运行时。在 SQL 服务器上创建 SSO 数据库时，该过程总是出错。在 ConfigLog 中，有几个警告MSSQLServerOLAPService does not exist，然后它显示创建 SSO 数据库时出错。一排有4个。按顺序，它们是：

然后它在尝试创建每个 BizTalk 数据库时遇到类似的错误。

在 SQL Server 上，SQL Server 日志中有相应的错误 - 用户“[用户名]”的每次尝试登录失败。[客户端：[IP 地址]] 错误：18456，严重性：14，状态：16

SQL 日志中的第一个错误也会在 SQL 服务器的应用程序事件日志中显示为失败审核。

我遇到的最大问题是我登录到 BizTalk 服务器的用户是 BizTalk 服务器和 SQL 服务器上的本地管理员，并且在 SQL sysadmin 组中。我正在配置 BizTalk 服务以在其下运行的用户也是两台服务器上的本地管理员以及 SQL 服务器上的 sysadmin 组中的管理员。我检查了两台机器上的 MSDTC 设置，并确保它们按照 BizTalk 文档的建议进行设置。SQL 浏览器正在 SQL 机器上运行，并且我已使用 SQL 外围应用配置工具验证允许网络访问。

谁能帮我找到我可能错过的东西？

回复：伊格尔：

是的，所有服务器和用户都在同一个域中。我在研究此问题时遇到了有关 SQL 协议的帖子，但我尝试在连接到另一个数据库时从登录用户的默认数据库中的一个表中选择一个计数。运行该查询我完全没有问题。

回复：约西：

我正在 Windows Server 2003 R2 SP1 上安装 BizTalk。是的，我已经删除了 SSODB（虽然我不会错过这样的事情！）。我将确保我提供的用户名正确无误，并检查您链接的来源并回复您。

我想使用 MOSS 2007 的单点登录功能，但读到服务器需要位于 Active Directory 环境中。我理解，但这是否意味着我的所有用户都必须是 Active Directory 用户？如果我的用户使用表单身份验证（使用自定义成员资格提供程序？）进行身份验证，我是否可以不使用 MOSS2007 单点登录。

背景：客户 X 是一家低预算的非盈利机构，但在虚拟主机上配置了很多活动，并且虚拟主机成倍增加。客户 X 也有很多用户，并且有兴趣让他们使用单点登录解决方案。这样，所有用户都可以在所有虚拟主机上使用相同的凭据。

我们也几乎强制要求使用 [Shibboleth 单点登录]( http://en.wikipedia.org/wiki/Shibboleth_(Internet2)来处理身份验证。

问题： Shibboleth Single Sign On 使用 SSL 作为其协议的一部分，但让多个虚拟主机使用 SSL 并不是在公园里散步。 This question about virtual-hosts with SSL详细介绍了一些陷阱。

问题：处理这种情况的最佳方法是什么（总结）：

• apache上的多个虚拟主机
• 为每个虚拟主机设置不同的 IP 和 NIC 几乎不是一种选择
• SSL 几乎需要一个单独的 IP
• 他们都需要某种 SSO
• 我们在使用 Shibboleth 作为 SSO 提供者方面承受着巨大压力

有什么我们可能在这里遗漏的东西，或者有什么方法可以解决这个问题，而不需要为所有虚拟主机提供单独的 IP？

我听说在 Windows 上，您可以从 Web 浏览器登录到 Web 服务器，而无需通过通常的登录方式输入用户名和密码，而是使用 NTLM 协议直接使用来自 Windows 的凭据。

这是如何实现的？Web 服务器是否需要支持一些额外的身份验证？

更新：我要求一个通用的 Web 服务器，而不仅仅是 IIS。例如，如何在 Apache 上做到这一点？

我有 Perl 5.10。如何使用单点登录方法连接到服务器？我必须向服务器发送服务票证并保存服务器返回的凭据。

Win32::IntAuth对这个有用吗？如何Win32::IntAuth在脚本中使用模块？我已经Win32::IntAuth在 Perl v5.10 中安装了该模块。

请为此问题提出一些解决方案和测试脚本。

.NET 平台是否存在诸如 OpenSSO ( https://opensso.dev.java.net/ ) 或 ESOE ( http://esoeproject.org/ ) 之类的东西？

这是与一般 SSO best-practices 上的这个问题类似的内容。处理禁用或出于任何原因无法访问的中央身份提供者的最佳方法是什么。如果您的网站允许用户使用他们集中存储的凭据登录，而中央服务不工作或无法访问，您是否：

• 允许用户在本地站点上重新输入他们的凭据，以便他们可以使用 Web 应用程序（或内容管理系统或其他）的本机登录设施

• 允许用户请求他们可以在 Web 应用程序本身上使用的另一组辅助凭据（即，当 IDP 关闭时他们可以使用的单独密码）[注意：显然这违背了“单一凭据”的目标，只是抛弃了所有想法]。

• 允许用户使用相同凭据的多个不同维护者中的任何一个登录（通过向他们提供多个链接到多个提供者，然后尝试每个链接，直到其中一个真正连接并工作）

出于可能显而易见的原因，上述这些解决方案似乎都没有吸引力，因此在您使用最佳替代方法回答时，请随意将它们放在“最差实践”列表中。

我有一个经典的 ASP 应用程序，目前使用在 IIS 6 上运行的 ASP.NET 表单身份验证进行保护，问题是我们的目的是要求此应用程序使用 Entrust TruePass 实现单点登录安全模型，我相信它使用客户端证书。这可以使用 ASP.NET Http 模块实现还是我必须编写一个 ISAPI 过滤器？还有其他选择吗？