Java，Unix，IE集成廣告/ Windows認證

Question

我們有一個運行在Unix機器上的Java應用程序，我們希望用Windows桌面上的IE瀏覽器來驗證Intranet用戶。

基本上，當他們到達我們的應用程序，我們想知道他們的Windows用戶名，並對我們的應用程序用戶數據庫執行我們的自定義身份驗證。

我周圍搜索，其中很多都是運行tomcat在windows中的解決方案（如WAFFLE）。任何指針如何實現這一個unix框是非常感謝它。

Answer 1

如果你想要單點登錄，我可以推薦Jespa，否則你只需要設置Active Directory認證。一切都取決於你是否想出示一個密碼框。

Answer 2

我不知道它是否適用於您的情況，但是有關於使用AD作爲Kerberos服務器，使用客戶端上的協商協議，以及將Tomcat與Kerberos集成或使用諸如SPNEGO之類的東西。我一直威脅着我們的Windows和安全團隊，我要建立這樣一個網絡，這樣我就可以展示他們的解決方案是多麼的痛苦......但是我必須通過50多種其他的東西當然，首先需要完成。 ;）

Answer 3

Jespa聽起來像是一個令人敬畏的追趕IIS對NTLM（Windows'SPNEGO實現中支持的兩種身份驗證協議之一）執行身份驗證的能力。 Jespa目前似乎不支持Kerberos身份驗證，所以如果您出於某種原因導向該身份驗證協議，則應該調查GSSAPI包含在Java中，並且不要忘記爲您的Java應用程序註冊一個或兩個SPN服務器。

追求SPNEGO/Kerberos路徑似乎有許多支持者和許多可能有用的文檔，但是有很多關於IE和Java應用程序之間有多少層的問題。這將有助於確定最有效的或最冗餘的附加組件的需要，使這項工作：

• JAAS可能是直接適用
• SPNEGO project可能更合適
• Java GSI可能是最好的選擇

和良好的措施，這裏有一對夫婦更多的資源來填補更多的背景：

• http://download.oracle.com/javase/jndi/tutorial/ldap/security/gssapi.html
• http://docs.sun.com/app/docs/doc/819-4670/gbapz?l=it&a=view

希望這有助於。