本文分享了在实现多域环境下统一登录所遇到的问题及解决方案,包括使用jespa支持多域登录、解决NTLM兼容性问题及面对单标签DNS解析难题。
1、最开始采用用脚本获得当前域与用户,提交后不用验证直接登陆,这么大的漏洞,大家懂的!
var wshShell = new ActiveXObject("WScript.Shell");
var computer= wshShell.ExpandEnvironmentStrings("%COMPUTERNAME%");
var username = wshShell.ExpandEnvironmentStrings("%USERNAME%");
//代码手打未调试,出错请baidu
2、被客户狠狠批了一顿,我们采用了jespa(当时粗心了,没怎么细看,API第一行就写着,我已经死了~~),就想着怎么应用上。结果单域很好的支持了,客户却是多域环境,而且要求出现类型网络邻居那种登陆用户方式(吐血~)。google无数(百度几乎没有),各种开源集成portal也看了,几乎都没有支持过;翻遍开发者的maillist,T~M~D的只有一哥们说改了源码说是支持了(源码的调试信息全是二级制信息,唉,好多位运算,跟一会儿就不知道那个啥啥啥是啥了)。不过总算是搞定了,那个欣慰啊,参考以前博客http://jusescn.iteye.com/blog/757475。
3、他已经死了终于出现效果了,本软件不支持最新的visit和win7操作系统,查原因,微软的认证模式由ntlmV1升级到v2模式而且,不向下兼容。神啊,谁救救我啊。
4、2种解决方式:
a、客户端修改,win7的机器ntlm兼容v1模式(注册表的一个值啊)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"LmCompatibilityLevel"=dword:00000001优点:不用改代码啊。
缺点:域用户几乎没有权限修改本地注册表,也许服务端管理员可以,但是,在景德镇,你们懂得。
b、服务端修改(又有三个选择):
I、jespa:商业软件,可以搞定,支持多域或者域/jdbc/神马都可以。
II、kerberos:spring支持,spring-security-kerberos,呵呵,不是spring的东西都是好东西。自己用就明白了。
III、spnego:google吧,方正也可以,不过跟 kerberos一样,配置神马把我自己都绕晕了,怎么可能交给实施的。
PS:在景德镇,你会有很多选择,比如,选择A就必须放弃B和CandD,也行还有EFG!某高人曾说,我们为啥要选择啊,这个应该都有。
5、但俺是俗人,毫不犹豫的选择了jespa,在景德镇,版权神马的大家都懂。
6、哈哈!~一切都是浮云啊。
7、但是客户永远是客户啊!有知道单标签DNS没,简单说就是本应该注册名www.sina.com.cn,但是现在只注册sina,T~M~D,客户端不能解析该域名,你让我怎么玩啊。
8、神马程序都是浮云,一切都是个圈啊,从这个圈跳到那个圈。
9、好嘛,现在,我从事网络管理员工作,研究如何把单标签DNS杀死.
10、I`ll be back!
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
