У меня есть один сервер Windows AD, и один сервер Linux, на котором выполняется Apache и Subversion, также имеют один сервер Windows, на котором выполняется .net-приложение Windows, использующее проверку подлинности Windows.Применить единый вход для компьютеров, не принадлежащих домену ActiveDirectory
Я уже настроил, как применять Kerberos или GSSAPI для авторизации пользователей подвешивания с учетными данными AD, а пользователи используют компьютеры, которые присоединились к домену, не будут запрашивать окно с запросом пользователя и пароля при доступе к веб-приложению .net и svn.
Но эти пользователи, которые не присоединяются к домену, всегда запрашивают окно, запрашивают у пользователя и пароля как веб-приложение, так и svn дважды, я хочу поделиться учетными данными для двух приложений, как я могу подать заявку?
Спасибо.
krb5.conf:
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = SCRCUTEST.COM
forwardable = true
dns_lookup_realm = false
dns_lookup_kdc = true
rdns = false
[realms]
SCRCUTEST.COM = {
kdc = astest.scrcutest.com
admin_server = astest.scrcutest.com
}
[domain_realm]
.scrcutest.com = SCRCUTEST.COM
scrcutest.com = SCRCUTEST.COM
resolv.conf:
domain scrcutest.com
nameserver 10.16.0.37
http.conf:
<Location /svn>
DAV svn
SVNParentPath /data/bb_bak/PV/access
SVNListParentPath On
SVNAutoVersioning On
AuthType Kerberos
AuthName "Input AD account"
KrbAuthRealms SCRCUTEST.COM
KrbServiceName HTTP
Krb5Keytab /etc/httpd/conf/kerberos.keytab
KrbMethodNegotiate On
KrbVerifyKDC Off
KrbMethodK5Passwd Off
KrbSaveCredentials on
Require valid-user
</Location>
Можете ли вы изменить свой квест ион, чтобы включить строфу Kerberos в ваш конфигурационный файл Apache на сервере Linux? –
@ T-Heron Как вы знаете, что это сервер Linux? –
Подождите ... что-то не кажется правильным. Как пользователи AD могут использовать SSO в Apache в первую очередь без пути к keytab, указанному в httpd.conf? Похоже, вам не хватает строки, которая должна выглядеть примерно так: _GssapiCredStore keytab: /path/to/httpd.keytab_ –