具有多个活动目录或 Windows 域的 Jespa ntlm 身份验证

Question

我正在使用 Jespa 进行透明 ntlm 登录。我希望能够对多个 Windows 域中的用户进行身份验证。我让它在一个域上工作。我如何添加另一个？

谢谢

Answer 1

我向 ioplex 支持询问了这个问题。他们给了我很好的答案。这里是：

“只有链中的第一个元素可以执行 SSO，因为一旦 HttpSecurityService 使用第一个域的信息向浏览器发起挑战，浏览器就无法为不同的域重新启动。至少不能在同一个请求中。理想情况下，它会如果浏览器在初始 NTLM 令牌中提交了它自己的域的名称，那就太好了，但不幸的是，

我们实际上经常遇到这个问题，我们认为处理这个问题的最佳方法是创建一个自定义过滤器。创建多个实例HttpSecurityService - 每个域都有一个并行的网络掩码列表，可用于通过远程 IP 地址将客户端与 HttpSecurityService 的正确实例进行匹配，或者您可以使用任何您想要的方法（例如浏览器签名）来识别客户端。或者您可以使用 cookie 来识别理想的域，但在这种情况下，用户必须执行某些操作才能获取 cookie（例如手动登录一次），您明白我的意思吗？

请注意，如果 AD 域具有信任，则 SSO 应该仅适用于一个 HttpSecurityService 实例。仅当域没有信任关系时，才需要上述解决方案。”