集成Windows身份验证弹簧安全性

Question

• 在windows环境中成功地使用了华夫饼，但是我的应用服务器托管在*nix环境中。
• 所以华夫饼解决方案不符合我的要求。
• 尝试过kerberos解决方案，与Waffle相比，很难配置，无法满足我的要求。

我的要求--当用户访问我的web应用程序的URL时，他/她将通过windows身份验证进行身份验证，或者如果可能的话，可以从请求对象获得远程用户或clientname (windows帐户名)。

任何建议都会有帮助。

Answer 1

如果您只有一个普通的AD (没有ADFS)，那么唯一的选择是使用SPNEGO ()将‘自动登录’(SSO)访问到您的应用程序。UserPrincipalName将在Kerberos令牌中提供。在生成keytab文件(用于您的应用程序/服务)时，一定要使用'/crypto‘，并注意KeyVersionNumber (因为'ktpass’更新/在AD中增加密钥版本)。但是，客户端必须能够为您的应用程序获得服务票(即Windows客户端必须是域的一部分)。还请注意，当客户端无法获得Kerberos服务票证时，IE可能会返回到提供NTLM令牌。广告和浏览器配置/行为比服务器端更具挑战性。

Answer 2

通过使用参考链接实现所需的内容

1. http://kb.kaminskiengineering.com/node/89
2. NTLM Authentication in a Web Application (java)其他想要实现更多安全性的人可以去kerberos，这也是因为spring不再支持我使用的上述方法。