Java, Unix, IE интегрированная аутентификация ad / windows

Question

У нас есть приложение Java, работающее на Unix, и мы хотим аутентифицировать пользователей интрасети с помощью браузеров IE на своих рабочих столах с Windows.

В основном, когда они попадают в наше приложение, мы хотим знать их имя пользователя Windows и проводить нашу собственную аутентификацию на основе базы данных пользователей нашего приложения.

Я искал вокруг, и многие из них являются решениями, запускающими tomcat на windows box (например, WAFFLE). Любые указатели на то, как добиться этого Unix Box, очень ценят это.

Answer 1

Я не знаю, применимо ли это в вашей ситуации, но было написано много об использовании AD в качестве сервера Kerberos, об использовании протокола согласования на клиентах и ​​об интеграции Tomcat с Kerberos или использовании чего-то вроде SPNEGO. Я продолжаю угрожать нашим Windows и командам безопасности, что я собираюсь создать такую ​​сеть, просто чтобы я мог показать, насколько БЕЗОПАСНЫ их решения, напротив ... но я должен пройти через более 50 других вещей, которые я НУЖНО закончить первым, конечно. ;)

Answer 2

Jespa звучит как удивительная догоняющая способность IIS выполнять аутентификацию с NTLM (один из двух протоколов аутентификации, поддерживаемых в реализации SPNEGO в Windows). Похоже, что в настоящее время Jespa не поддерживает аутентификацию Kerberos, поэтому, если вы по какой-то причине ориентируетесь на этот протокол аутентификации, вам следует изучить возможности включения GSSAPI в Java и не забудьте зарегистрировать SPN или два для своего приложения Java. сервер.

Следуя пути SPNEGO / Kerberos, похоже, есть много сторонников и множество, возможно, полезной документации, но есть целый ряд вопросов о том, сколько слоев находится между IE и вашим Java-приложением. Это поможет определить наиболее эффективный или наименее избыточный набор надстроек, необходимый для работы:

• JAAS может иметь непосредственное отношение
• Проект SPNEGO может быть более подходящим
• Java GSI может быть лучшим выбором

И, для большей степени, вот еще пара ресурсов, чтобы заполнить дополнительную информацию:

• http://download.oracle.com/javase/jndi/tutorial/ldap/security/gssapi.html
• http://docs.sun.com/app/docs/doc/819-4670/gbapz?l=it&a=view

Надеюсь, это поможет.

Answer 3

Если вам нужен единый вход, я могу порекомендовать Jespa , в противном случае вам просто нужно настроить аутентификацию Active Directory.Все зависит от того, хотите ли вы представить поле для пароля или нет.