我们有这种情况 -
是否可以将数据电源用作可信赖的合作伙伴,并且不在注册表中查找用户? 我们正在寻找的是避免再次呼叫AD并仍然保护wl资源......
答案 0 :(得分:2)
WAS需要验证LTPA令牌,因此需要用户注册表(在本例中为Active Directory服务器)。一种解决方案是使用信任认证,因此WAS信任来自DataPower的请求,但这意味着必须实现TAI(信任关联拦截器)(不是一项简单的任务)。
答案 1 :(得分:0)
WAS需要对传入用户进行授权。试图做的是验证LTPA tokent [没有AD发生这种情况],然后尝试授权用户。此授权决策必须来自某个地方[来自本地文件或通过LDAP]。另一方面,此类授权可能不是来自LDAP [在大多数情况下,AD未配置为将用户作为具有特定资源权限的特定组的成员返回]。在这种情况下,WAS会查询用户的授权信息,但查询只会双重检查用户是否存在于特定的注册表中[你是正确的,如果LTPA令牌有效,那么再次检查用户是没有意义的,因为LTPA本身是从[最有可能]相同的注册表中查询/验证用户的数据生成的?
不幸的是,似乎没有办法避免它。