Привет
Есть 3-х звенка. Web-сп-бд
Сп свой(под виндой и линуксом) - фактически сервлет под управлением томката.
Пользователи, права ИТР хранятся в бд - авторизация полностью своя внутри сп.
Теперь хотят прикрутить active directory .
Прогуглил документацию и форумы но так и не понял как лучше.
В моем понимании все должно быть просто - в базе будет привязка «наших» юзеров к юзерам AD. Тогда на СП достаточно узнать имя доменного пользователя(для этого Kerberos достаточно?)
Или так не приемлемо.
Направьте на путь истинный плз.
Удачи!

Спасибо - попробуем , но смущают слова «This allows users to browse to a Windows intranet site “ - У нас Томкэт может быть на линуксе

Petro123paulman2,
А если в АД чел в обед уволился?
И входит к вам?
Вы по бизнесу должны решить что именно прикрутить)).
Может SSO?

Уволили - значит к нам больше не должен войти - если был уже залогинен - думаю что переживут.

KachalovDmitry.java может работать с LDAP протоколом без доп библиотек.
Если надо проверить пароль и получить группы/атрибуты, то этого достаточно.

https://docs.oracle.com/javase/jndi/tutorial/ldap/security/ldap.html
- зачем на таком низком уровне? В соседней ветке есть пример настроек Tomcat + AD

Возможно я чего то не понимаю, но мне не нужна авторизация томката, не нужно чтобы он выводил свое окно логона.
Фактически если я узнаю в своем сервлете имя доменного пользователя под которым он залогинен у себя я смогу сопоставить его с пользователем прописанным в БД и выполнить логин внутри своего СП.
Или это идеологически не правильно?

Petro123paulman2,
Как вы узнаете что его уволили, еслииу вас учетки в двух местах?
По бегунку?
А если начнете в сервлете при любом запросе лезть в АД, то это и будет SSO.
Зачем при любом? только при логине.

Petro123,

Что значит станет его?
Если он залогинен в винду на своем рабочем месте, значит он действующий пользователь.

Petro123,

Мне не нужны данные учёток в ад
В моем понимании самый простой вариант - на сп пришёл запрос - если я вижу что удаленный юзер в домене то ищу соот. юзера в своей бд и делаю свой логин.
Что криминального?
Если нормально то только один вопрос - как узнать юзера ?

Petro123,

нет!
Он входит в Windows под юзером gendir_winuser, открывает браузер и лезет на мой томкат (на винде или линуксе) и я его там хочу авторизовать на основе виндового юзера. в моей БД таблица USERS лежит запись USER_ID=1, MYSYSTEMLOGIN="GDLOGIN", MYSYSTEMPASS="hash", WINLOGIN="MYDOMAIN\gendir_winuser").
Определяю виндового юзера, ищу нужную запись в таблице USERS - нашел значит знаю кто это и ему не надо вводить никакой пароль.

вадяpaulman2открывает браузер и лезет на мой томкаткак браузер может узнать под каким логином юзер зашёл в windows?
что-то о безопасности слышал?
Браузер не может, а сервер может (например Waffle но она только под win работает)