เรามีการติดตั้ง IDAM ที่ซับซ้อนเล็กน้อย:
นั่นคือเครื่องของผู้ใช้และเบราว์เซอร์อยู่ในเครือข่ายเดียวโดยมีโฆษณาหลักและแอพพลิเคชั่นที่ใช้ Jetty ของเราและโฆษณาที่สามารถพูดคุยกับ (โฆษณาท้องถิ่น) นั่งอยู่ในอีกเครือข่ายหนึ่ง
มีความน่าเชื่อถือแบบสองทางระหว่างสองโฆษณา เบราว์เซอร์ในเครือข่ายหลักมีโดเมนท้องถิ่นในเว็บไซต์ที่เชื่อถือได้
การตั้งค่าเซิร์ฟเวอร์ Jetty มีดังนี้:
- มันใช้ไฟล์ตารางคีย์ที่สร้างขึ้นกับเงินต้นในโฆษณาท้องถิ่น
- มันกำลังทำงานเป็นบริการของ Windows ภายใต้ผู้ใช้ที่กำหนดไว้ในโฆษณาท้องถิ่น
- realm, domain-realm mapping และ kdc นั้นถูกกำหนดกับโดเมนของ local AD
- มันใช้ spnego - isInitiator ถูกตั้งค่าเป็นเท็จ doNotPrompt เป็นจริง storeKey เป็นจริง
ปัญหาคือ:
- เป็นแบบทดสอบการเข้าถึงเซิร์ฟเวอร์จากเบราว์เซอร์ที่อยู่ภายในเครือข่ายท้องถิ่น (เชื่อมโยงเช่นการโฆษณาในท้องถิ่นบริการ) ทำงาน - ข้อมูลการแก้ปัญหาของ Kerberos ปรากฏในบันทึกที่ฉันสามารถมองเห็นที่ถูกต้อง Kerberos การเจรจาต่อรองในการเข้าชมของ HTTP และผู้ใช้มีการลงนามโดยอัตโนมัติ . สุกใส
อย่างไรก็ตามการเข้าถึงเซิร์ฟเวอร์จากเบราว์เซอร์ภายในเครือข่ายหลัก (ซึ่งเป็นวิธีที่ผู้ใช้ของเราจะทำสิ่งต่าง ๆ ) ไม่ทำงาน! เบราว์เซอร์จะได้รับ 401 unauth ย้อนกลับ แต่จากนั้นจะขอข้อมูลประจำตัวซึ่งเมื่อป้อนให้หน้าจอว่างเปล่า จากนั้นคลิกที่แถบที่อยู่และกด Enter จะทำหนึ่งในสองสิ่งนี้ขึ้นอยู่กับว่าข้อมูลรับรองนั้นมีไว้สำหรับโฆษณาระยะไกลหรือโฆษณาท้องถิ่น:
- จากนั้นข้อมูลประจำตัวโฆษณาท้องถิ่นแล้วลงชื่อเข้าใช้ด้วย Kerberos ตั้งแต่ต้นในบันทึก (คำขอ GET, ตอบกลับ 401 unauth, คำขอส่วนหัว Kerberos ฯลฯ )
- ข้อมูลประจำตัว AD ระยะไกลไม่ได้เข้าสู่ระบบ (GET คำขอ 401 ตอบสนอง UNAUTH, สิ่งที่ดูเหมือนว่าหัว NTLM นี้:
Authorization: Negotiate <60 or so random chars>
)
ไม่ว่าจะด้วยวิธีใดความจริงที่ว่าการกระตุ้นเตือนนั้นผิด
มีคำอธิบายสำหรับอาการเหล่านี้หรือไม่? การตั้งค่าเราสามารถทำสิ่งที่เราต้องการได้หรือไม่?
ในแง่ของสิ่งที่เกี่ยวกับคำอธิบายข้างต้นอาจผิด: การกำหนดค่าใด ๆ ที่ฉันได้กล่าวถึงเกี่ยวกับเซิร์ฟเวอร์ Jetty ควรมีความถูกต้องเหมือนที่ฉันทำ ฉันยินดีที่จะให้รายละเอียดเพิ่มเติม การกำหนดค่าใด ๆ ที่เกี่ยวข้องกับโฆษณาหรือเบราว์เซอร์เครือข่ายหลักอาจเป็นสิ่งที่น่าสงสัยเพราะมันไม่ได้อยู่ภายใต้การควบคุมของฉันและฉันได้กำหนดค่าการรายงานให้ฉันแทนที่จะเห็นด้วยตนเอง