![](/img/trans.png)
[英]Java SSO: Kerberos authentication against Active Directory
[英]Java Kerberos authentication using Active Directory User Principal Name
我正在尝试从简单LDAP身份验证切换到GSSAPI
身份验证。
我正在使用Krb5LoginModule
在将用户名设置为用户的UPN
时执行身份验证,该用户的UPN
看起来像user@suffix
,其中后缀不是域名。
身份验证失败,因为Krb5LoginModule假定名称格式为principal@realm
。
是否有任何选项可以将包含@的用户名传递给Krb5LoginModule,这样它就可以使用完整的用户名而无需从用户名中提取域名?
使用sAMAccountName可以工作,但我没有用户的sAMAccountName而是UPN。
用户登录Windows使用UPN
,我在网络捕获中看到的唯一区别是,在Windows登录名称类型中使用的是KRB5-NT-ENTERPRISE-PRINCIPAL
, KerberosString
包含完整的UPN
名称,与KRB5-NT-PRINCIPAL
相反和Java发送的带有截断的UPN
名称的KerberosString
。
你不能。 Java不支持企业主体(类型10)(主要规范化)。 MIT Kerberos有。 你运气不好。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.