我正在尝试为我们的 Java 应用程序测试基于 Kerberos 的 SSO 解决方案。不幸的是,我没有可用的 Windows 域来执行此操作。我阅读了有关将 Windows 与独立的非 Microsoft Kerberos KDC 集成的功能:
http://technet.microsoft.com/en-us/library/bb742433.aspx#EDAA
...所以我在 Ubuntu 上设置了一个 Kerberos 服务器,并使用该ksetup.exe实用程序将 Windows XP 机箱与其集成。我现在能够在这些 PC 上登录 Kerberos 领域。
但是,当我连接到我们的 Web 应用程序时,IE 不会向服务器发送 Kerberos 票证...只有 NTLM。
我已将站点配置为位于 Intranet 区域,并执行了此处概述的其他步骤:http://docs.oracle.com/cd/E13222_01/wls/docs81/secmanage/sso.html#1101398
我还使用...在领域上设置了“委托”标志ksetup /SetRealmFlags <realm> delegate,我不确定这是否相关,但看到一些迹象表明它可能相关。
如果 IE 不是 Windows 域的一部分,而只是 Kerberos 领域的一部分,是否可以让 IE 发送 Kerberos 票证?
答案1
您要连接的名称在 DNS 中是否有 A 记录?除非您在客户端上实施注册表设置,否则使用 CNAME 将不起作用,而这对于大多数人来说并不是可行的解决方案。