Jespaを使用して透過的なntlmサインオンを実行しています。複数のWindowsドメインでユーザーを認証できるようにしたい。1つのドメインで動作しています。別のものを追加するにはどうすればよいですか?
ありがとう
2067 次
1 に答える
1
この質問を ioplex サポートに尋ねました。彼らは私に良い答えをくれました。ここにあります:
「チェーンの最初の要素のみが SSO を実行できます。これは、HttpSecurityService が最初のドメインの情報を使用してブラウザーにチャレンジすると、ブラウザーは別のドメインを最初からやり直すことができないためです。少なくとも同じ要求ではできません。理想的には、ブラウザは、最初の NTLM トークンで独自のドメイン名を送信しましたが、残念ながらそうではありません。
私たちは実際にこの質問をかなり受けます。私たちの意見では、これを処理する最善の方法は、HttpSecurityService の複数のインスタンス (ドメインごとに 1 つ) を作成するカスタム フィルターを作成することです。次に、リモート IP アドレスによってクライアントを HttpSecurityService の正しいインスタンスに一致させるために使用できる、ネットワーク マスクの並列リストを取得します。または、ブラウザの署名など、必要な方法を使用してクライアントを識別することもできます。または、Cookie を使用して理想的なドメインを識別することもできますが、この場合、ユーザーは Cookie を取得するために何らかの操作を行う必要があります (1 回手動でログインするなど)。私の言いたいことが分かりますか?
AD ドメインに信頼がある場合、SSO は 1 つの HttpSecurityService インスタンスのみで正常に動作することに注意してください。上記の解決策は、ドメインに信頼関係がない場合にのみ必要です。」
于 2011-09-06T23:00:05.340 に答える