帶廣告的CAS SSO（SPNEGO）

Question

我正在嘗試使用SPNEGO創建具有自動登錄的部署； 基於本教程： http : //jasig.github.io/cas/development/installation/SPNEGO-Authentication.html

我想將我們的廣告用作密鑰分發中心，以便我們的域用戶通過CAS自動登錄到我們的應用程序。

我們的域中有一個用戶，它有一個SPN集

已經為此用戶生成了一個密鑰表文件，我已經在login.conf文件中進行了設置

這是cas config的相關部分：

<bean id="jcifsConfig" class="org.jasig.cas.support.spnego.authentication.handler.support.JCIFSConfig">
    <property name="jcifsServicePrincipal" value="***SPN***" />
    <property name="kerberosDebug" value="true" />
    <property name="kerberosRealm" value="***REALM/DOMAIN***" />
    <property name="kerberosKdc" value="***Active Directory IP***" />
    <property name="loginConf" value="***Path to login.conf***" />
</bean>

登錄conf為

jcifs.spnego.initiate {
   com.sun.security.auth.module.Krb5LoginModule required storeKey=true useKeyTab=true keyTab="***Path tp keytab***";
};
jcifs.spnego.accept {
   com.sun.security.auth.module.Krb5LoginModule required storeKey=true useKeyTab=true keyTab="***Path tp keytab***";
};

問題是我得到的只是來自客戶端瀏覽器的NTLMSSP令牌。 因此，我可以看到某種協商已經開始，但是身份驗證始終失敗。

教程/方法在“測試SPN帳戶”部分中引用了Kerberos配置。 我不明白這一點。 我是否應該在承載CAS的計算機上安裝Kerberos服務器（我不希望這樣做）？ 對我來說，這似乎不合邏輯，因為我希望AD提供Kerberos票證？

任何幫助表示贊賞！

謝謝馬克。

編輯：

這是一個真正困擾我的問題： 教程/方法在“測試SPN帳戶”部分中引用了Kerberos配置。 我不明白這一點。 我是否應該在承載CAS的計算機上安裝Kerberos服務器（我不希望這樣做）？ 對我來說，這似乎不合邏輯，因為我希望AD提供Kerberos票證？

Answer 1

您必須配置瀏覽器以對您的CAS站點執行SPNEGO。

從容易（OS / X上的Safari即開即用）到非常困難（讓Explorer信任您的域之外的網站），這一切都可以。

舊瀏覽器版本示例

如果您正在獲得像包一樣的NTLM，則表示瀏覽器無法將您的站點識別為可以使用kerberos憑據訪問的站點之一。