Как автоматически перенаправить пользователя, прошедшего проверку подлинности с помощью форм, на сайт NT, если у него есть эквивалентные учетные данные в домене?

Question

У меня есть требование, чтобы каждый раз, когда пользователь заходил на веб-сайт с использованием проверки подлинности на основе форм [FBA], сайт проверял, есть ли у него запись NT пользователя в соответствующем домене. Для пользователей будет создана таблица соответствия между базой данных членства ASPNETDB и соответствующими учетными записями домена.

Всякий раз, когда пользователь FBA входит в систему и обнаруживает соответствующую учетную запись домена, участник должен перенаправляться на альтернативный сайт / URL-адрес, который проходит проверку подлинности Windows NT, а не FBA. Прежде чем передавать их, я хотел бы иметь возможность предварительно подтвердить их подлинность в домене Windows, а не в появившемся дополнительном диалоговом окне «Вход в NT» с просьбой ввести соответствующие учетные данные NT.

Возможно ли программную предварительную проверку подлинности с использованием учетных данных NT перед перенаправлением пользователя на сайт, прошедший проверку подлинности NT?

Примечание: технически это не единый сценарий стиля. Аутентифицированные сайты FBA / NT не связаны, кроме как между исходными учетными данными FBA и поиском учетных данных NT.

Answer 1

Не уверен, что я полностью понимаю ваши вопросы: все пользователи должны проходить аутентификацию, используя аутентификацию на основе форм. После этого пользователи, прошедшие проверку подлинности в домене Windows, перенаправляют на другой сайт как пользователи, не являющиеся пользователями. Правильно ли мое понимание? Звучит как довольно необычный сценарий.

В общем, если вы хотите использовать проверку подлинности Windows в качестве механизма sso для веб-приложений, вам нужен протокол SPNEGO: http://en.wikipedia.org/wiki/SPNEGO Его можно использовать для автоматического обмена Kerberos, а также токенами NTLM между браузером пользователя и вашим веб-приложением. Затем вашему веб-приложению необходимо снова проверить ваш активный каталог, если эти токены действительны.