我正在使用Jespa进行透明的ntlm登录。我希望能够在多个Windows域中验证用户身份。我让它与一个域合作。我该如何添加另一个?
由于
答案 0 :(得分:0)
我向ioplex支持问了这个问题。他们给了我一个很好的答案。这是:
“只有链中的第一个元素可以进行SSO,因为一旦HttpSecurityService向浏览器挑战第一个域的信息,浏览器就无法重新开始使用另一个域。至少不在同一个请求中。理想情况下,它将是很好,如果浏览器在初始NTLM令牌中提交了自己域名的名称。但不幸的是,它根本没有。
我们实际上得到了这个问题。我们认为处理此问题的最佳方法是创建一个自定义过滤器,该过滤器创建HttpSecurityService的多个实例 - 每个域一个。然后,您有一个并行的网络掩码列表,可用于通过远程IP地址将客户端与正确的HttpSecurityService实例进行匹配。或者您可以使用任何方法识别客户端,例如broswer签名。或者您可以使用cookie来识别理想的域,但在这种情况下,用户必须做一些事情来获取cookie(比如手动登录一次)。你明白我的意思吗?
请注意,如果AD域具有信任,则SSO应该只与一个HttpSecurityService实例一起正常工作。只有当域没有信任关系时,才需要上述解决方案。“