FraFu: Windows AD, SSO (Single Sign On)

Hallo!

Ich möchte eine Lösung finden für folgendes Problem, weiß aber nichtmal wo ich anfangen soll zu suchen.

Kunde hat ein Windows Active Directory. Die User loggen sich auf ihren XP/Vista PCs an diesem AD ein.

Unsere Applikation ist eine Tomcat Webapplikation unter Linux.

Die in Windows eingeloggten User sollen sich auf unserere Webapplikation einloggen können ohne Benutzername und Passowort eingeben zu müssen.

Wie kann ich die User authentifizieren?
Bietet da Windows irgendeine Technik dafür? Irgendwelche IE Plugins oder so, die mir einen Token im Header mitschicken, den ich dann beim AD überprüfen kann ob der gültig ist?

mfg
  frafu

  1. Hi!

    Wie kann ich die User authentifizieren?

    ADS nutzt zur Authentifizierung und Verschlüsselung Kerberos und LDAP als Verzeichnisdienst.

    off:PP

    --
    "You know that place between sleep and awake, the place where you can still remember dreaming?" (Tinkerbell)
    1. Hallo!

      Wie kann ich die User authentifizieren?

      ADS nutzt zur Authentifizierung und Verschlüsselung Kerberos und LDAP als Verzeichnisdienst.

      Das ist mir schon klar. Aber das hilft mir nicht wirklich weiter. Ich möchte einen SSO Mechanismus implementieren.
      Das heißt, wenn der User meine Webapplikation aus Windows heraus mit dem IE aufruft, muss mir der Internet Explorer schon irgendwas mitschicken, mit dem ich den User authentifizieren kann.
      Der User soll nicht erst Benutzername und Passwort angeben, das hat er ja schon beim Login in Windows angegeben.

      mfg
        frafu

      1. Hallo,

        wenn Du den Loginnamen von Windows brauchst, versuche es mal mit:

        <script type="text/jscript">
        var oNet = new ActiveXObject("WScript.Network");
        var userName = oNet.UserName;
        </script>

        Grüße Basti

        1. Hallo!

          wenn Du den Loginnamen von Windows brauchst, versuche es mal mit:

          <script type="text/jscript">
          var oNet = new ActiveXObject("WScript.Network");
          var userName = oNet.UserName;
          </script>

          Aber das ist halt alles andere als sicher. Da kann man jeden beliebigen Username unterjubeln. Das ist noch lange keine Sicherheit, dass der User der ist, der er vorgibt zu sein.

          mfg
            frafu

  2. Hallo FraFu,

    Für den Apache bin ich vor einiger Zeit mal auf dies Anleitung gestoßen. Vielleicht hilft sie dir bei der Suche für den Tomcat..

    Grüße
      David

    --
    >>Nobody will ever need more than 640k RAM!<<
    1981 Bill Gates