我想在 weblogic 上使用活动目录进行 SSO。我在网上找到了非常有用的信息。但在所有情况下,都提到了如何为 AD 身份验证配置 weblogic。 但我的问题是用户名将如何从 apache 网络服务器传递到 weblogic。 如果我们无法在 weblogic 本身中获取用户名,那么 SSO 将无法工作。 如果有人对 weblogic 服务器上的 SSO AD 身份验证有任何想法(其中用户名从 apache webserver 传递),请分享。
【问题讨论】:
标签: authentication active-directory weblogic single-sign-on
我从来没有用 Apache 做过 Kerberos 设置,但是用 IIS 做过几十次,而且 IIS 上没有需要为 Kerberos 修改的设置,所以我猜它应该与 Apache 相同。只要它将请求转发到 Weblogic,就可以了。 您的 Apache 的 URL 应该在 AD 上的 SPN 中。每当您尝试在登录到 AD 域的计算机上的 Internet Explorer 中打开它时,Internet Explorer 都会询问 AD 是否为该 URL 注册了任何服务,一旦 AD 找到与该 URL 匹配的 SPN,它将发出 Kerberos 票证,其中包含:除其他外,您的域用户名和服务主体。 Weblogic 将获取此票证并将其中的服务主体与其密钥表文件中的服务主体进行比较。一旦找到匹配项(我省略了无聊的加密/解密细节),它就会知道您确实是该域的成员,并且您的用户名被认为是有效的。
【讨论】:
这取决于您如何设置与 weblogic 的连接。如果您从 apache 连接,您使用的是什么方法?如果它作为代理工作,比如从浏览器中,您可以尝试转发凭据。它是一个webservice,你需要在header中实现一些时尚,比如BASIC认证。只要您可以传递凭据,您就可以管理 SSO。
通常对于 SSO,您将在域上拥有一个浏览器,例如 IE,因为它无需进一步配置即可与 kerberos 一起使用,它会连接到 weblogic 服务器。它将一张票传给 weblogic,它作为一个 TGT 到活动目录。这允许 weblogic 然后返回一个令牌,授予客户端对应用程序的访问权限。如果没有这种类型的连接(即浏览器到 weblogic),您需要实现一些方法来确定如何登录到 weblogic——否则谁会从 apache 登录到应用程序?它会是 apache 本身作为域帐户吗?假设您希望来自客户端的 SSO,您需要客户端将其凭据传递给 apache(需要以某种方式转发它们)或 weblogic 直接。 Weblogic 支持 SAML 1.1(我不认为它本身就支持 2.0,但您可以通过扩展添加它)可用于将详细信息从源转发到目标以执行身份验证 - 这是您可能想要查看的内容。 weblogic 文档存在于两个 weblogic 域之间,因此您可以将其用作创建目标的起点。 (不想链接文档,因为它因您使用的 weblogic 版本而异)
【讨论】: