终于还是要做 SSO 这玩意。
原来想让 Manager 换成 其它LDAP 服务器,谁知道她就是喜欢 MS,一定要上 AD,无言...只要硬着头皮研究 Windows Domain 和 IIS 集成的原理。现在原理是清楚了,但是对 Kerberos 不是很熟,不知道这有没有人做过这样的应用? 能不能指点一下?
具体需求如下:
1.所有的用户都使用 Windows 2000 以上机器
2.所有的用户都登录到了 Domain 里。
3.当用户使用浏览器访问 Web Resource 时,系统能自动认别出当前用户是谁,身份就是用户登录域的帐号。
我上次推荐文章里的SSO模式你这里真是很有用处。
可以拓展接LDAP或Kerberos
我找了些 Kerberos 的资料来看,确实不错,就是烦了点 ^_^
我现在对 IE 用户自动登录 IIS 的原理已经了解清楚了,希望四月份以前能有个解决方案。
>> 3.当用户使用浏览器访问 Web Resource 时,系统能自动认别出当前用户是谁,身份就是用户登录域的帐号。
我想知道你准备怎样去实现"自动识别"? 因为据我了解只有用户使用IE作为浏览器的时候, 才有可能通过NTLM认证其http header的信息.
我以前做过类似的SSO, 不过比你的需求简单一点, 就是不要求系统自动识别, 用户在第一次登陆的时候还是需要输入用户名和密码, 然后我用该用户名和密码在domain server上验证.
NTLM 也可以自动识别当前用户是谁。
我这里测试部分成功。(IE 似乎有 BUG,有时没有将 NTLM 的 Header 送到服务器上,造成了认证失败)
NTLM 不是个好方法,每次都要到 Domain Server 上去验证用户身份。
好的方法就是使用Kerberos. 您可以找些 Kerberos 的资料来看看。