JAAS & SSO

03-03-03 iceant
         

终于还是要做 SSO 这玩意。

原来想让 Manager 换成 其它LDAP 服务器,谁知道她就是喜欢 MS,一定要上 AD,无言...只要硬着头皮研究 Windows Domain 和 IIS 集成的原理。现在原理是清楚了,但是对 Kerberos 不是很熟,不知道这有没有人做过这样的应用? 能不能指点一下?

具体需求如下:

1.所有的用户都使用 Windows 2000 以上机器

2.所有的用户都登录到了 Domain 里。

3.当用户使用浏览器访问 Web Resource 时,系统能自动认别出当前用户是谁,身份就是用户登录域的帐号。

         

banq
2003-03-03 14:50

我上次推荐文章里的SSO模式你这里真是很有用处。

可以拓展接LDAP或Kerberos

iceant
2003-03-04 17:15

我找了些 Kerberos 的资料来看,确实不错,就是烦了点 ^_^

我现在对 IE 用户自动登录 IIS 的原理已经了解清楚了,希望四月份以前能有个解决方案。

wys1978
2003-03-04 18:57

>> 3.当用户使用浏览器访问 Web Resource 时,系统能自动认别出当前用户是谁,身份就是用户登录域的帐号。

我想知道你准备怎样去实现"自动识别"? 因为据我了解只有用户使用IE作为浏览器的时候, 才有可能通过NTLM认证其http header的信息.

我以前做过类似的SSO, 不过比你的需求简单一点, 就是不要求系统自动识别, 用户在第一次登陆的时候还是需要输入用户名和密码, 然后我用该用户名和密码在domain server上验证.

iceant
2003-03-08 17:11

NTLM 也可以自动识别当前用户是谁。

我这里测试部分成功。(IE 似乎有 BUG,有时没有将 NTLM 的 Header 送到服务器上,造成了认证失败)

NTLM 不是个好方法,每次都要到 Domain Server 上去验证用户身份。

好的方法就是使用Kerberos. 您可以找些 Kerberos 的资料来看看。