JAAS & SSO

03-03-03 iceant

终于还是要做 SSO 这玩意。
原来想让 Manager 换成其它LDAP 服务器，谁知道她就是喜欢 MS，一定要上 AD，无言...只要硬着头皮研究 Windows Domain 和 IIS 集成的原理。现在原理是清楚了，但是对 Kerberos 不是很熟，不知道这有没有人做过这样的应用? 能不能指点一下?

具体需求如下:

1.所有的用户都使用 Windows 2000 以上机器
2.所有的用户都登录到了 Domain 里。
3.当用户使用浏览器访问 Web Resource 时，系统能自动认别出当前用户是谁，身份就是用户登录域的帐号。

banq

2003-03-03 14:50

我上次推荐文章里的SSO模式你这里真是很有用处。
可以拓展接LDAP或Kerberos

iceant

2003-03-04 17:15

我找了些 Kerberos 的资料来看，确实不错，就是烦了点 ^_^

我现在对 IE 用户自动登录 IIS 的原理已经了解清楚了，希望四月份以前能有个解决方案。

wys1978

2003-03-04 18:57

>> 3.当用户使用浏览器访问 Web Resource 时，系统能自动认别出当前用户是谁，身份就是用户登录域的帐号。

我想知道你准备怎样去实现"自动识别"? 因为据我了解只有用户使用IE作为浏览器的时候, 才有可能通过NTLM认证其http header的信息.

我以前做过类似的SSO, 不过比你的需求简单一点, 就是不要求系统自动识别, 用户在第一次登陆的时候还是需要输入用户名和密码, 然后我用该用户名和密码在domain server上验证.

iceant

2003-03-08 17:11

NTLM 也可以自动识别当前用户是谁。
我这里测试部分成功。(IE 似乎有 BUG,有时没有将 NTLM 的 Header 送到服务器上，造成了认证失败)

NTLM 不是个好方法，每次都要到 Domain Server 上去验证用户身份。
好的方法就是使用Kerberos. 您可以找些 Kerberos 的资料来看看。