Cách sử dụng đăng nhập Windows cho đăng nhập một lần và cho các mục nhập Active Directory cho ứng dụng Desktop Java?

Question

Tôi muốn có ứng dụng Java trên máy tính để bàn của mình để có một dấu hiệu đơn lẻ liên quan đến người dùng Active Directory . Trong hai bước, tôi muốn:

1. Đảm bảo rằng người dùng cụ thể đã đăng nhập vào Windows bằng một số mục nhập của người dùng.
2. Kiểm tra một số thông tin cài đặt cho người dùng đó từ Active Directory

Với Java: Programatic Way to Determine Current Windows User Tôi có thể lấy tên của người dùng Windows hiện tại nhưng tôi có thể dựa vào đó? Tôi nghĩ rằng

System.getProperty("user.name") 

sẽ không đủ an toàn? ("user.name" dường như có được từ các biến môi trường, vì vậy tôi không thể dựa vào đó, tôi nghĩ?)

Câu hỏi Authenticating against Active Directory with Java on Linux cung cấp cho tôi xác thực cho tên + pass nhưng tôi muốn xác thực dựa trên đăng nhập Windows?

Để truy cập Thư mục hoạt động, LDAP có thể sẽ là sự chọn lựa?

Tôi không hoàn toàn chắc chắn nếu tôi đặt câu hỏi đúng nhưng hy vọng ai đó có một số ý tưởng để chuyển tiếp tôi.

Answer 1

Nó không được hỗ trợ. Java 6 có những cải tiến, nhưng chưa đủ.

Java có ngăn xếp GSS riêng. Vấn đề là cho đăng nhập một lần, bạn cần lấy vé Kerberos từ hệ điều hành (không phải là ngăn xếp Java). Nếu không, người dùng phải xác thực lần thứ hai (đánh bại mục đích đăng nhập một lần).

Nhìn vào http://java.sun.com/developer/technicalArticles/J2SE/security/. Tìm hiểu về "Access Native GSS-API" và nó nói về một thuộc tính hệ thống mới sun.security.jgss.native mà khi được đặt thành true sẽ làm cho Java sử dụng triển khai GSS OS bên dưới, cho phép truy cập vào xác thực mức hệ điều hành. Hoàn hảo! .... ngoại trừ nó chỉ được hỗ trợ cho Solaris và Linux, không phải Microsoft Windows.

Tuy nhiên, Java 6 dường như có đủ hỗ trợ để hoạt động với tư cách máy chủ nhận yêu cầu xác thực SPNEGO từ IE và sau đó xác thực người dùng đó đối với Active Directory. Chỉ hỗ trợ máy khách của máy tính để bàn vẫn chưa hoàn chỉnh.

Answer 2

Kiểm tra JCIFS tại http://jcifs.samba.org/

Khác hơn thế, gắn bó với LDAP (trên thực tế, nó phải là lần thử đầu tiên của tôi, nhưng ...)

Answer 3

Bạn đã xem là sử dụng api JNA (cho phép bạn làm các cuộc gọi bản địa đến hệ điều hành dễ dàng)?

Bạn có thể gọi win32 metod GetCurrentUser tài liệu MSDN tại http://msdn.microsoft.com/en-us/library/ms724432(VS.85).aspx. Nó nằm bên trong Advapi32.dll.

Nó cũng có phiên bản unicode, GetCurrentUserW nếu cần.

Và bạn đã đúng. Dường như biến môi trường có thể được thay đổi, để có thể gây hiểu nhầm khi sử dụng.

Tôi không chắc về ý nghĩa nền tảng chéo trên các cửa sổ 32/64bit. Nếu bạn cần giải pháp trong mã, tôi chắc chắn rằng tôi có thể viết một cái gì đó cho nó.

Nhưng yea, chỉ cần một ý tưởng :)

Answer 4

Sử dụng JAAS với một LDAP LoginModule. Điều này sẽ cho phép bạn cắm vào cơ sở hạ tầng bảo mật Java cơ bản.

Khi bạn cần ứng dụng ngoại tuyến hoặc "gỡ lỗi" ứng dụng, bạn có thể dễ dàng hoán đổi mô-đun LDAP cho mô-đun giả. Điều này cho phép bạn tiếp tục thử nghiệm "bảo mật" của bạn, mà không phụ thuộc vào Active Directory. Có thể kiểm tra cao, tách riêng và bạn có thể xác thực lược đồ sau đó với hầu như không có đau buồn.

Answer 5

Bạn có thể sẽ linh hoạt nhất bằng cách sử dụng Spring Security. Bạn có thể sử dụng nó với cả xác thực JAAS và LDAP.

Answer 6

Điều này article from Sun và open source library này có thể giúp bạn có được những gì bạn cần.

Answer 7

Chỉ vì lợi ích của người khác đọc chủ đề này, http://www.javaactivedirectory.com/?page_id=196 có một ví dụ về cách làm dấu hiệu duy nhất trên với Windows/Active Directory

Answer 8

Dự án Waffle có cả client và server-side code để làm SSO trên Windows. Nó dựa trên JNA, không cần thư viện gốc.