具有多个活动目录或Windows域的Jespa ntlm身份验证

时间:2011-08-15 19:49:57

标签: active-directory single-sign-on ntlm jespa

我正在使用Jespa进行透明的ntlm登录。我希望能够在多个Windows域中验证用户身份。我让它与一个域合作。我该如何添加另一个?

由于

1 个答案:

答案 0 :(得分:0)

我向ioplex支持问了这个问题。他们给了我一个很好的答案。这是:

“只有链中的第一个元素可以进行SSO,因为一旦HttpSecurityService向浏览器挑战第一个域的信息,浏览器就无法重新开始使用另一个域。至少不在同一个请求中。理想情况下,它将是很好,如果浏览器在初始NTLM令牌中提交了自己域名的名称。但不幸的是,它根本没有。

我们实际上得到了这个问题。我们认为处理此问题的最佳方法是创建一个自定义过滤器,该过滤器创建HttpSecurityService的多个实例 - 每个域一个。然后,您有一个并行的网络掩码列表,可用于通过远程IP地址将客户端与正确的HttpSecurityService实例进行匹配。或者您可以使用任何方法识别客户端,例如broswer签名。或者您可以使用cookie来识别理想的域,但在这种情况下,用户必须做一些事情来获取cookie(比如手动登录一次)。你明白我的意思吗?

请注意,如果AD域具有信任,则SSO应该只与一个HttpSecurityService实例一起正常工作。只有当域没有信任关系时,才需要上述解决方案。“