Привет
Есть 3-х звенка. Web-сп-бд
Сп свой(под виндой и линуксом) - фактически сервлет под управлением томката.
Пользователи, права ИТР хранятся в бд - авторизация полностью своя внутри сп.
Теперь хотят прикрутить active directory .
Прогуглил документацию и форумы но так и не понял как лучше.
В моем понимании все должно быть просто - в базе будет привязка «наших» юзеров к юзерам AD. Тогда на СП достаточно узнать имя доменного пользователя(для этого Kerberos достаточно?)
Или так не приемлемо.
Направьте на путь истинный плз.
Удачи!

Спасибо - попробуем , но смущают слова «This allows users to browse to a Windows intranet site “ - У нас Томкэт может быть на линуксе

Petro123paulman2,
А если в АД чел в обед уволился?
И входит к вам?
Вы по бизнесу должны решить что именно прикрутить)).
Может SSO?

Уволили - значит к нам больше не должен войти - если был уже залогинен - думаю что переживут.

KachalovDmitry.java может работать с LDAP протоколом без доп библиотек.
Если надо проверить пароль и получить группы/атрибуты, то этого достаточно.

https://docs.oracle.com/javase/jndi/tutorial/ldap/security/ldap.html
- зачем на таком низком уровне? В соседней ветке есть пример настроек Tomcat + AD

Возможно я чего то не понимаю, но мне не нужна авторизация томката, не нужно чтобы он выводил свое окно логона.
Фактически если я узнаю в своем сервлете имя доменного пользователя под которым он залогинен у себя я смогу сопоставить его с пользователем прописанным в БД и выполнить логин внутри своего СП.
Или это идеологически не правильно?

Petro123paulman2,
Как вы узнаете что его уволили, еслииу вас учетки в двух местах?
По бегунку?
А если начнете в сервлете при любом запросе лезть в АД, то это и будет SSO.
Зачем при любом? только при логине.

Petro123,

Что значит станет его?
Если он залогинен в винду на своем рабочем месте, значит он действующий пользователь.

Petro123,

Мне не нужны данные учёток в ад
В моем понимании самый простой вариант - на сп пришёл запрос - если я вижу что удаленный юзер в домене то ищу соот. юзера в своей бд и делаю свой логин.
Что криминального?
Если нормально то только один вопрос - как узнать юзера ?

Petro123,

нет!
Он входит в Windows под юзером gendir_winuser, открывает браузер и лезет на мой томкат (на винде или линуксе) и я его там хочу авторизовать на основе виндового юзера. в моей БД таблица USERS лежит запись USER_ID=1, MYSYSTEMLOGIN="GDLOGIN", MYSYSTEMPASS="hash", WINLOGIN="MYDOMAIN\gendir_winuser").
Определяю виндового юзера, ищу нужную запись в таблице USERS - нашел значит знаю кто это и ему не надо вводить никакой пароль.

вадяpaulman2открывает браузер и лезет на мой томкаткак браузер может узнать под каким логином юзер зашёл в windows?
что-то о безопасности слышал?
Браузер не может, а сервер может (например Waffle но она только под win работает)

Basil A. Sidorovвадякак браузер может узнать под каким логином юзер зашёл в windows?Любое виндовое приложение может и узнать логин пользователя и даже безопасно авторизоваться на сторонних ресурсах.
Как например в Java Script в браузере это узнать?

вадяpaulman2Браузер не можетесли знаешь ответ зачем спрашиваешь? что ты хочешь выяснить?
Я уже написал что я хочу. То что браузер не может не означает что задача не разрешима.

вадяpaulman2Как например в Java Script в браузере это узнать?если это было бы разрешено - представляешь, что было бы? js даже к файловой системе доступа не имеет.
Я знаю, поэтому и ищу другое решение. Хочется простое решение...

вадяpaulman2То что браузер не может не означает что задача не разрешима.используй только IE
Не катит - у нас хром

вадяpaulman2Не катит - у нас хромзначит никак хром не может узнать.
иначе это будет дыра в безопасности
Ну так для этого есть всякие Waffle, SSO, Kerberos итд.
Но не хочется городить сложной огород

вадяpaulman2,
а в чем проблема ввода логина/пароля?
В желании заказчика

а собрать тестовую систему в тестовом или реальном домене и начинать "делать по инструкции".[/quot]

Всем спасибо за информацию.
Но картина мира у меня все равно не складывается :)
Сорри - я не сетевик и не админ.

Да, собрать тестовую среду по инструкции надо! проблема в том что инструкций много. :)

Допустим настраиваем Tomcat , настраиваем браузер, а дальше что?
Юзер в браузере вбивает ссылку к моему СП - сейчас мы с помощью JS показываем свое окно логина (конечно если не были ранее залогинены).
Соот. мне до того как показать это окно надо узнать доменный пользователь или нет.
вот здесь механика не понятна - кому какой запрос посылать, надо ли иммитировать 401-ю ошибку чтобы пошла Kerberos авторизация?
фактически то нужно чтобы СП узнал имя доменного пользователя.

вадяесли ты показываешь окно ввода - кто мешает отправить это на сервер и соотнести введённое с логинами доменных логинов?
1. Так они не хотят ничего вводить
2. Что значит соотнести? вопрос то тоже - как узнать доменный логин.

вадяpaulman22. Что значит соотнести? вопрос то тоже - как узнать доменный логин.СП обращается к базе где прописаны логины введённые в браузере и их соответствующие логины из винды
Если буду знать доменный логин текущего юзера то конечно соотнесу :)