Windows加入AD域后,想实现用登录计算机的AD域账号密码,登录各个web应用站点。即浏览器访问web站点时,不需要输入用户密码,自动使用登录windows系统时的AD账号登录。
官网地址:
https://apereo.github.io/cas/5.1.x/installation/SPNEGO-Authentication.html
AD域服务器上生成keytab文件
-
在AD域中,创建1个域账号,密码设置为永不过期
-
使用上面创建的域账号,创建SPN(服务主体名称)
使用administrator账户登录AD域控服务器,在命令行运行以下命令:setspn -S HTTP/cas.test.com@apitest.domain.com loginName
参数说明:
cas.test.com:CAS服务器域名
apitest.domain.com:AD域服务器的域名
loginName:域登录账号SPN:Kerberos身份验证使用SPN将服务实例与服务登录帐户相关联
-
生成keytab文件
使用administrator账户登录AD域服务器,在命令行运行以下命令:ktpass /out cas.keytab /princ HTTP/cas.test.com@APITEST.DOMAIN.COM /pass * /mapuser loginName@APITEST. DOMAIN.COM /ptype KRB