Назад | Перейти на главную страницу

Будет ли IE отправлять билет Kerberos, если он не находится в домене?

Я пытаюсь протестировать решение SSO на основе Kerberos для нашего Java-приложения. К сожалению, в моем распоряжении нет домена Windows для этого. Я читал о возможности интеграции Windows с автономным KDC, отличным от Microsoft Kerberos:

http://technet.microsoft.com/en-us/library/bb742433.aspx#EDAA

... поэтому я установил сервер Kerberos в Ubuntu и интегрировал с ним коробку Windows XP, используя ksetup.exe утилита. Теперь я могу войти в область Kerberos на этих компьютерах.

Однако, когда я подключаюсь к нашему веб-приложению, IE не предлагает отправить билет Kerberos на сервер ... только NTLM.

Я настроил сайт так, чтобы он находился в зоне интрасети, и выполнил другие шаги, описанные здесь: http://docs.oracle.com/cd/E13222_01/wls/docs81/secmanage/sso.html#1101398 Я также установил флаг делегата в области, используя ksetup /SetRealmFlags <realm> delegate... Я не уверен, имеет ли это значение, но видел некоторые признаки того, что это может быть.

Можно ли заставить IE отправлять билеты Kerberos, если он не является частью домена Windows, а просто частью области Kerberos?

Имя, которое вы подключаетесь, чтобы иметь запись A в DNS? Использование CNAME не будет работать, если вы не реализуете параметр реестра на клиенте, что для большинства не является жизнеспособным решением.