我在 IE8 上使用 NTLM 单点登录时遇到了问题。
我们有多个域控制器和来自多个域的用户,我们尝试通过 NTLMv1 直通向 Web 应用程序进行身份验证。
由于某种原因,IE 无法在 NTLM Type 1 消息中发送用户的域。这会导致 Web 应用无法将用户与其域控制器正确匹配,从而导致登录尝试失败,因为来自域 X 的用户尝试向域控制器 Y 进行身份验证。
Firefox 不会出现此问题,因为它始终发送正确的域标头。
那么:如何让 IE 在 NTLM 标头中发送域?
答案1
IE 仅当其属于本地内联网时才会传递域。请检查您的内联网设置/组策略以确定您是否已关闭该部分。
答案2
好的,我想我找到了解决方案。除非目标是本地主机,否则 IE 永远不会发送域。因此,如果 ntlm 实现不能将 AD 解析推迟到消息类型 3,那么您就倒霉了。
该问题的详细描述: http://lists.samba.org/archive/jcifs/2004-April/003363.html