有人告诉我,可以制作不需要登录的 Web 应用程序。用户登录到 Windows,它通过 Active Directory (LDAP) 查找进行身份验证。然后,他们应该能够访问我的 web 应用程序并且永远不会看到登录提示。这些客户一直将其称为单点登录(可能是错误的,也是我困惑的一部分)。
但是,从我从 Tomcat 文档中读到的 Single Sign On 是:
当您希望让用户能够登录到与您的虚拟主机关联的任何一个 Web 应用程序,然后让同一虚拟主机上的所有其他 Web 应用程序识别他们的身份时,可以使用单点登录阀。
这对我来说非常清楚。用户必须登录一次才能访问 tomcat 实例上的每个 web 应用程序。但是,我需要做的是以某种方式让他们登录,而无需向我的 tomcat 服务器提供任何凭据。
所以,为了让它起作用,我想:
我见过一些使用客户端证书的例子......特别是 DoD PKI 系统,这对我来说很有意义,因为在这些情况下你配置 Tomcat 来请求客户端证书,但只是登录到 Windows 我不明白这是怎么回事将工作以及浏览器将传递给服务器的信息等。这是 NTLM 的用途吗?
IT 部门正在考虑允许将 Google Chrome 浏览器安装和自动部署到 100 多个桌面。要求之一是传递域凭据。所需的行为与 Internet Explorer 相同。
浏览内网资源时出现问题。需要 Active Directory 身份验证的 Intranet 站点显示“需要身份验证”对话框。
对于每个站点,您必须输入域凭据。
问题:Google Chrome 目前或计划支持直通 Windows 身份验证吗?如果是这样,您如何配置此安全设置?
windows authentication google-chrome single-sign-on passthrough
我们的软件开发公司同时使用 Windows 和 Linux 服务器。
此设置的摩擦点之一是我们没有单点登录解决方案。我们更像是一家 Microsoft 商店而不是 Linux 商店,我们希望针对 AD 进行身份验证。
我在网上阅读了几篇文章,我明白这是可能的。
我们目前在 Linux 上使用以下需要身份验证的服务:
- git 服务器(通过 SSH)
- Sendmail
- 当前使用 .htaccess 文件的 Apache Web 服务器。
- SAMBA 文件共享
我想知道这种设置有多实用?它真的有效还是容易出错?
我想使用现有的 SAML 2.0 IdP 限制对一些使用 nginx 提供服务的静态内容的访问。(在 Apache 中,这将使用诸如mod_mellonor 之类的模块来完成mod_auth_saml)
在 nginx 上对静态内容使用 SAML 身份验证的最佳方法是什么?如果仍然使用X-Accel 标头,是否有帮助脚本可以从 SAML 身份验证进行代理,还是我需要为此从头开始?
我们是一家运行 Google Apps (Enterprise) 的小商店,可满足我们的电子邮件需求。爱它。在内部,我们使用的是 Windows AD (2003)。那里也没有抱怨。
我想在 AD 和 Google Apps 之间使用某种 SSO 方法,以便 AD 是我的人必须管理(并定期更改!)密码的唯一地方。
我过去看过谷歌的“tfm”,但我想我不太明白。有没有人这样做?如果是这样,你愿意分享如何吗?可以在没有大量复杂性和费用的情况下完成吗?
我们有一家小型企业,目前在我们的办公室内不需要域。我们有一个基本网络和一台运行 Windows Server 2008 R2 的服务器,其中包含一些文件共享和 3rd 方应用程序。
我们使用 Office 365 并拥有 Windows Azure 订阅。两者似乎很好地保持了我们组织的 Active Directory 同步。(即两个系统上的数据看起来相同)
我们在应用服务器上运行的所有第三方应用都支持 LDAP 作为身份提供者,但由于我们不运行域,因此我们必须让每个用户为这些服务创建新的登录名/密码。
理想情况下,我们希望此服务器从 Azure/Office 365 同步,然后允许用户使用他们的 Office365 凭据进行身份验证。
我发现的所有文献都讨论了从本地同步到 Azure,但我们更愿意从 Azure/Office 365 同步到我们的本地服务器。我猜我们的内部部署服务器成为我们 Office 365 目录的联合身份提供者...
这是可能的,还是我们需要一些可以联合来自 Azure 或 Office 365 的身份的 3rd 方 LDAP 提供商?
我一直在考虑mod_auth_kerb在我们的内部 Web 服务器上部署以启用 SSO。我能看到的一个明显问题是,它是一种要么全有要么全无的方法,要么您的所有域用户都可以访问某个站点,要么不能。
是否有可能结合起来mod_auth_kerb的东西,如mod_authnz_ldap在特定的组中LDAP检查组成员?我猜这个KrbAuthoritative选项会与此有关吗?
此外,据我所知,该模块将用户名设置为username@REALM经过身份验证,但当然在目录中,用户仅存储为用户名。此外,我们运行的一些内部站点(例如 trac)已经有一个链接到每个用户名的用户配置文件。有没有办法解决这个问题,也许是通过在身份验证后以某种方式剥离领域位?
在一个小型办公室设置(5-6 名员工)中,我们有七个 Windows XP 和 Windows Vista 客户端,以及几个 linux 服务器。
是否可以设置一台 linux 机器作为域控制器来为网络提供单点登录和类似 AD 的功能?
我正在通过运行在 Apache(SLES 11.1 上的 Apache2)上的网站为 Active Directory 用户设置 SSO,并且在使用 Firefox 进行测试时,一切正常。但是当我尝试在 Internet Explorer 8 (Windows 7) 中打开网站时,我得到的只是
“错误的请求
您的浏览器发送了此服务器无法理解的请求。
请求头字段的大小超过服务器限制。
授权:协商【超长字符串】”
我的 vhost.cfg 看起来像这样:
<VirtualHost hostname:443>
LimitRequestFieldSize 32760
LimitRequestLine 32760
LogLevel debug
<Directory "/data/pwtool/sec-data/adbauth">
AuthName "Please login with your AD-credentials (Windows Account)"
AuthType Kerberos
KrbMethodNegotiate on
KrbAuthRealms REALM.TLD
KrbServiceName HTTP/hostname
Krb5Keytab /data/pwtool/conf/http_hostname.krb5.keytab
KrbMethodK5Passwd on
KrbLocalUserMapping on
Order allow,deny
Allow from all
</Directory>
<Directory "/data/pwtool/sec-data/adbauth">
Require valid-user
</Directory>
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile /etc/apache2/ssl.crt/hostname-server.crt
SSLCertificateKeyFile /etc/apache2/ssl.key/hostname-server.key
</VirtualHost>
我还确保删除了 cookie,并为 LimitRequestFieldSize 和 …
我正在配置服务提供商以使用 SSO 身份验证。为此,我将使用 AD FS 2.0。
我需要提供给 IdP 的 SAML 断言使用者的 URL 是什么?
我认为它可能是其中之一:
但我不确定。有任何想法吗?
single-sign-on ×10
windows ×3
apache-2.2 ×2
linux ×2
adfs ×1
azure ×1
bad-request ×1
g-suite ×1
kerberos ×1
ldap ×1
nginx ×1
passthrough ×1
pki ×1
samba ×1