SSO 身份验证/Active Directory/weblogic/apache 代理问题答案

【问题标题】：SSO Authentication/Active Directory/weblogic/apache proxy issuesSSO 身份验证/Active Directory/weblogic/apache 代理问题
【发布时间】：2016-05-30 12:20:43
【问题描述】：

我被要求针对基于 weblogic Web 的应用程序的 Active Directory 实施无缝 SSO 身份验证。经过大量的测试和实验，我设法让所有的链条都按要求工作。用户从 Windows 管理的 PC 登录并使用 IE 可以无缝登录到 Web 应用程序。

之后，在 web 浏览器和 weblogic 之间配置并安装了一个 apache，以执行 HTTPS-->HTTP 终止。完成此操作后，浏览器停止执行无缝登录 - 尽管基本身份验证确实有效；

进一步调查，我注意到 Authorization 标头没有转发到 weblogic，这证明了为什么没有进行身份验证。请注意，我使用的 apache 服务器是 2.2。

有人知道 apache 是否明确删除了 Authorization 标头吗？我还尝试将请求的最大大小增加到 30KB，以防出现问题

谢谢

【问题讨论】：

您启用了libapache-mod-auth-kerb 模块吗？我之前已经使用 HTTP.keytab 完成了 Apache SSO，如果您希望我发布该文档，我可以。
谢谢您或您的回复。然而我的问题是这个。我已经将所有内容设置为在浏览器->weblogic->webapp 之间无缝工作。但是，为了进行 HTTPS-->HTTP 转换，我需要一个 apache。每当我直接点击 weblogic 时，一切正常，但是当我通过 apache BASIC 身份验证弹出窗口时会出现。似乎授权标头没有通过

标签： java apache single-sign-on

【解决方案1】：

我们需要安装以下包。 apt-get install libapache-mod-auth-kerb
首先我们将HTTP.keytab（在“Active Directory”中生成）复制到etc/krb5.keytab，如下所示。 cp /root/HTTP.keytab /etc/krb5.keytab
接下来我们必须给予适当的权限。 chown www-data:www-data /etc/krb5.keytab chmod 400 /etc/krb5.keytab
接下来我们进入 Apache 虚拟主机路径 vi /etc/apache2/sites-available/default

如下添加一个目录

`<Directory />
          AuthName "Kerberos Login"
          AuthType Kerberos
          Krb5Keytab /etc/krb5.keytab
          KrbServiceName HTTP
          KrbAuthRealm YOURDOMAIN.LOCAL   //It is  Domain name of your server 
          KrbMethodNegotiate on
          KrbSaveCredentials on
          KrbVerifyKDC on
          Require valid-user
   </Directory>`

重新启动 Apache Web 服务器 /etc/init.d/apache2 restart
接下来转到 Active Directory 客户端计算机的浏览器并使用 apache 服务器的 FQDN 访问 Web 服务器。它不会询问您打开该网站的密码。

注意：

对于资源管理器浏览器，我们需要在security 选项卡上设置automatic logon with user name and password

user authentication -> logon -> automatic logon with user name and password

如果您发现任何困难，请更新我。

【讨论】：

感谢您的演练，但预期的解决方案是让 weblogic 进行实际身份验证。当apache不在中间时，我一切正常。请看我上面的评论