「Windows Desktop SSO 認證」模組是基於 Kerberos 的認證外掛程式模組,用於 Windows 2000™。它可讓通過 Kerberos 配送中心 (Kerberos Distribution Center;KDC) 認證的使用者,毋需再次提交登入條件便可通過 Access Manager 的認證 (單次登入)。
使用者透過 SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) 通訊協定向 Access Manager 提出 Kerberos。為了經由此認證模組來執行基於 Kerberos 的單次登入 Access Manager,在用戶端的使用者必須支援 SPNEGO 通訊協定,才能自我認證。通常,任何支援此通訊協定的使用者應該都能使用這個模組對 Access Manager 進行認證。視用戶端記號的可用性而定,此模組會提供 SPENGO 記號或 Kerberos 記號 (不論那一個,通訊協定都相同)。於 Windows 2000 (或更新版本) 上執行的 Microsoft Internet Explorer (5.01 或更新版本) 目前支援此通訊協定。此外,Solaris (9 和 10) 上的 Mozilla 1.4 具有 SPNEGO 支援,但只會傳回 KERBEROS 記號,因為 Solaris 不支援 SPNEGO。
您必須使用 JDK 1.4 或更新版本,才能利用 Kerberos V5 認證模組的新功能和 Java GSS API,在此 SPNEGO 模組中執行基於 Kerberos 的 SSO。
若在 WindowsDesktopSSO 認證時使用的是 Microsoft Internet Explorer 6.x,且瀏覽器不具使用者的 Kerberos/SPNEGO 記號 (符合 WindowsDesktopSSO 模組中配置的 (KDC) 範圍) 之存取權,則在瀏覽器對 WindowsDesktopSSO 模組的認證失敗後,瀏覽器對其他模組的運作也會不正確。導致此問題的直接原因在於當 Internet Explorer 無法執行 WindowsDesktopSSO 模組時,即使出現回呼的提示,瀏覽器也無法將回呼 (屬於其他模組) 傳遞至 Access Manager,除非瀏覽器重新啟動。由於 Null 使用者憑證,因此 WindowsDesktopSSO 之後的所有模組都將失敗。
請參閱下列文件以取得相關資訊:
http://support.microsoft.com/default.aspx?scid=kb;en-us;308074
http://www.wedgetail.com/jcsi/sso/doc/guide/troubleshooting.html#ieNTLM
啟用 Windows Desktop SSO 認證是一個具有兩個步驟的程序:
在 Windows 2000 網域控制器中建立一個使用者
設定 Internet Explorer。
在網域控制器中,建立針對 [Access Manager 認證] 模組的使用者帳號。
將使用者帳號與服務提供者名稱產生關聯,並將 keytab 檔案匯出至安裝了 Access Manager 的系統。若要進行上述動作,請執行下列指令:
ktpass -princ host/hostname.domainname@DCDOMAIN -pass password -mapuser userName-out hostname.host.keytab ktpass -princ HTTP/hostname.domainname@DCDOMAIN -pass password -mapuser userName-out hostname .HTTP.keytab |
ktpass 指令接受下列參數:
hostname。執行 Access Manager 的主機名稱 (不含網域名稱)。
domainname。Access Manager 網域名稱。
DCDOMAIN。網域控制器的網域名稱。此名稱可能與 Access Manager 的網域名稱不同。
password。使用者帳號的密碼。請確定密碼正確,因為 ktpass 不會驗證密碼。
userName。使用者帳號 ID。它應該與 hostname 相同。
請確保兩個 keytab 檔案均已做好安全措施。
服務範本值應類似於以下範例:
服務主體: HTTP/machine1.EXAMPLE.COM@ISQA.EXAMPLE.COM
Keytab 檔案名稱:/tmp/machine1.HTTP.keytab
Kerberos 範圍: ISQA.EXAMPLE.COM
Kerberos 伺服器名稱:machine2.EXAMPLE.com
使用網域名稱傳回主體:false
認證層級: 22
重新啟動伺服器。
上述步驟適用於 Microsoft Internet Explorer™ 6 及更高版本。若您是使用較早的版本,請確定 Access Manager 在瀏覽器的網際網路區域內,並啟用 Windows 原有的認證 (Native Windows Authentication)。