Интеграция пружинной безопасности Windows Authentication
- Пробовал вафлю успешно работать как нужно в среде Windows, но мой сервер приложений размещен в среде * nix.
Поэтому вафельные решения не отвечают моим требованиям.
Испытанные решения Kerberos довольно сложно настроить по сравнению с Waffle, не способным удовлетворить мои требования.
Мое требование - Когда пользователь нажимает на URL моего веб-приложения, он / она получает аутентификацию Windows или, если возможно, может получить удаленного пользователя или имя клиента (имя учетной записи Windows) из объекта запроса.
Любое предложение будет полезно.
2 ответа
Если у вас есть только обычная AD (без ADFS), тогда единственный вариант - использовать SPNEGO (spring-security-kerberos) для получения "автоматического входа" (SSO) в ваше приложение. Имя_пользователя будет предоставлено в токене Kerberos. При создании файла keytab (для вашего приложения / службы) обязательно используйте "/crypto all" и позаботьтесь о KeyVersionNumber (так как "ktpass" обновляет / увеличивает версию ключа в AD). Однако клиенты должны иметь возможность получить билет службы для вашего приложения (т. Е. Клиенты Windows должны быть частью домена). Также обратите внимание, что IE может вернуться к представлению токена NTLM, когда клиент не может получить билет службы Kerberos. AD и конфигурация / поведение браузера более сложны, чем на стороне сервера.
Достичь того, что нужно, используя ссылку
- http://kb.kaminskiengineering.com/node/89
- Проверка подлинности NTLM в веб-приложении (java). Другие пользователи, которые хотят добиться большей безопасности, могут пойти к Kerberos-Spengo также из-за того, что весенняя система безопасности перестала поддерживать вышеуказанный метод, который я использовал.