O IE enviará um ticket Kerberos se não estiver em um domínio?

4

Estou tentando testar uma solução de SSO baseada em Kerberos para nosso aplicativo Java. Infelizmente, não tenho um domínio do Windows à minha disposição para fazê-lo. Eu li sobre a capacidade de integrar o Windows com um Kerberos KDC não-Microsoft autônomo:

link

... então eu configurei um servidor Kerberos no Ubuntu e integrei uma caixa do Windows XP usando o utilitário ksetup.exe . Agora sou capaz de entrar no reino do Kerberos nesses computadores.

No entanto, quando me conecto ao nosso aplicativo da Web, o IE não oferece o envio de um tíquete Kerberos ao servidor ... apenas NTLM.

Configurei o site para estar na zona da Intranet e executei as outras etapas descritas aqui: link Também configurei o sinalizador 'delegate' no domínio usando ksetup /SetRealmFlags <realm> delegate ... Não tenho certeza se isso é relevante, mas vi algumas indicações de que pode ser.

É possível fazer o IE enviar tíquetes Kerberos se não fizer parte de um domínio do Windows, mas apenas parte de um reino Kerberos?

    
por Aron 10.01.2012 / 06:48

1 resposta

0

O nome ao qual você está se conectando tem um registro A no DNS? Usar um CNAME não funcionará, a menos que você implemente uma configuração de registro no cliente, o que não seria uma solução viável para a maioria.

    
por 11.01.2012 / 00:32