![](/img/trans.png)
[英]Java SSO: Kerberos authentication against Active Directory
[英]Java Kerberos authentication using Active Directory User Principal Name
我正在嘗試從簡單LDAP身份驗證切換到GSSAPI
身份驗證。
我正在使用Krb5LoginModule
在將用戶名設置為用戶的UPN
時執行身份驗證,該用戶的UPN
看起來像user@suffix
,其中后綴不是域名。
身份驗證失敗,因為Krb5LoginModule假定名稱格式為principal@realm
。
是否有任何選項可以將包含@的用戶名傳遞給Krb5LoginModule,這樣它就可以使用完整的用戶名而無需從用戶名中提取域名?
使用sAMAccountName可以工作,但我沒有用戶的sAMAccountName而是UPN。
用戶登錄Windows使用UPN
,我在網絡捕獲中看到的唯一區別是,在Windows登錄名稱類型中使用的是KRB5-NT-ENTERPRISE-PRINCIPAL
, KerberosString
包含完整的UPN
名稱,與KRB5-NT-PRINCIPAL
相反和Java發送的帶有截斷的UPN
名稱的KerberosString
。
你不能。 Java不支持企業主體(類型10)(主要規范化)。 MIT Kerberos有。 你運氣不好。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.