[英]CAS SSO with AD (SPNEGO)
我正在嘗試使用SPNEGO創建具有自動登錄的部署; 基於本教程: http : //jasig.github.io/cas/development/installation/SPNEGO-Authentication.html
我想將我們的廣告用作密鑰分發中心,以便我們的域用戶通過CAS自動登錄到我們的應用程序。
我們的域中有一個用戶,它有一個SPN集
已經為此用戶生成了一個密鑰表文件,我已經在login.conf文件中進行了設置
這是cas config的相關部分:
<bean id="jcifsConfig" class="org.jasig.cas.support.spnego.authentication.handler.support.JCIFSConfig">
<property name="jcifsServicePrincipal" value="***SPN***" />
<property name="kerberosDebug" value="true" />
<property name="kerberosRealm" value="***REALM/DOMAIN***" />
<property name="kerberosKdc" value="***Active Directory IP***" />
<property name="loginConf" value="***Path to login.conf***" />
</bean>
登錄conf為
jcifs.spnego.initiate {
com.sun.security.auth.module.Krb5LoginModule required storeKey=true useKeyTab=true keyTab="***Path tp keytab***";
};
jcifs.spnego.accept {
com.sun.security.auth.module.Krb5LoginModule required storeKey=true useKeyTab=true keyTab="***Path tp keytab***";
};
問題是我得到的只是來自客戶端瀏覽器的NTLMSSP令牌。 因此,我可以看到某種協商已經開始,但是身份驗證始終失敗。
教程/方法在“測試SPN帳戶”部分中引用了Kerberos配置。 我不明白這一點。 我是否應該在承載CAS的計算機上安裝Kerberos服務器(我不希望這樣做)? 對我來說,這似乎不合邏輯,因為我希望AD提供Kerberos票證?
任何幫助表示贊賞!
謝謝馬克。
編輯:
這是一個真正困擾我的問題: 教程/方法在“測試SPN帳戶”部分中引用了Kerberos配置。 我不明白這一點。 我是否應該在承載CAS的計算機上安裝Kerberos服務器(我不希望這樣做)? 對我來說,這似乎不合邏輯,因為我希望AD提供Kerberos票證?
您必須配置瀏覽器以對您的CAS站點執行SPNEGO。
從容易(OS / X上的Safari即開即用)到非常困難(讓Explorer信任您的域之外的網站),這一切都可以。
如果您正在獲得像包一樣的NTLM,則表示瀏覽器無法將您的站點識別為可以使用kerberos憑據訪問的站點之一。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.