【问题标题】:How to configure WSO2 IS for Windows Authentication and multi-domain Active Directory configuration?如何为 Windows 身份验证和多域 Active Directory 配置配置 WSO2 IS?
【发布时间】:2018-01-17 17:50:53
【问题描述】:

我们正在使用 WSO2 身份服务器 5.2.0。 在我们的一个客户站点,我们有一个场景,我们需要针对 2 个 Active Directory (LDAP) 域对用户进行身份验证。 我们还在此设置中启用了 IWA(集成 Windows 身份验证)。 您能否让我们知道在这种情况下应该如何完成 WSO2 IS 配置?

我们已经阅读了 WSO2 IS 文档,该文档描述了如何在 user-mgt.xml 文件中配置多个用户存储,但看起来它可以在没有集成 Windows 身份验证 (IWA) 的情况下正常工作,其中登录页面显示给用户和用户可以选择在用户名前面指定域名,但在 IWA 情况下似乎不起作用。

您能告诉我们如何处理这种情况吗?请向我们指出描述此配置的文档。

多域身份验证可以与 IWA 一起使用吗?

【问题讨论】:

标签: ldap windows-authentication wso2is


【解决方案1】:

IWA 利用 NTLM 根据在浏览器和服务器之间传递的加密票证/消息对用户进行身份验证。您需要在两个 Active Directory 域之间配置外部信任,以使 NTLM 令牌交换正常工作。

以下文章 [1] 提供了使用 WSO2 Identity Server 5.2.0 为多 Windows 域环境设置 IWA 身份验证的详细指南。

[1]https://ashenweerathunga.wordpress.com/2017/02/03/configuring-iwa-single-sign-on-for-multiple-windows-domains-with-wso2-identity-server

【讨论】:

  • 感谢您的快速回复。我们的客户已经创建了 AD 森林并启用了域之间的 2 路信任。根据您分享的上述帖子,我们不需要在 WSO2 中配置两个 UserStoreManager(两个域)。它只会连接到一个域,但由于信任来自其他域的用户将被验证。我的假设是真的吗?请指导。
  • 我们是否需要在域 1 中与域 2 的用户一起创建任何组,以便身份验证起作用?从域 2 的机器访问 URL 时出现以下错误。从 WSO2 日志中,我们可以看到来自域 2 的用户正在尝试登录,但身份验证失败。
  • TID: [-1234] [] [2018-01-17 14:17:24,881] INFO {org.wso2.carbon.identity.application.authenticator.iwa.servlet.IWAServlet} - 成功登录用户:Domain2\Q010101 TID:[-1234] [] [2018-01-17 14:17:25,362] 错误 {org.wso2.carbon.identity.application.authentication.framework.handler.step.impl.DefaultStepHandler } - org.wso2.carbon.identity.application.authenticator.iwa.IWAAuthenticator.processAuthenticationResonse(IWAAuthenticator.java:111)的身份验证失败
  • 请在调试模式下附加完整的异常。
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 2015-06-06
  • 1970-01-01
  • 2020-11-26
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2017-02-03
相关资源
最近更新 更多