活动目录服务设置
Active directory service setup
我是活动目录编程的新手。我需要设置一个只有经过身份验证的活动目录用户才能使用的服务。我一直在阅读 msdn 文档。我现在对整个设置的想法如下,
- 我已经在AD域中添加了我的电脑,我已经创建了用户。 (均为手动)
- 我写了一个简单的 REST 服务,它 returns "Hello world" 在 GET 调用上。我在 https://docs.microsoft.com/en-us/windows/desktop/ad/publishing-with-service-connection-points 中读到了 "service publication"。虽然现在不知道如何将我的 REST 服务注册为活动目录对象。在那个方向上的任何 example/lead 都会有所帮助。
- 我最后想做的和https://docs.microsoft.com/en-us/windows/desktop/ad/mutual-authentication-using-kerberos
差不多
a client application uses a service instance's service connection point (SCP) object in Active Directory Domain Services to retrieve data from which to compose an SPN for the service.
所以我的主要问题是可以像我的例子那样注册一个 web 服务来注册为活动目录 "domain enabled" 服务吗?
如果您需要有关上下文的更多详细信息,请告诉我。如果这个问题对你来说太简单了,那我先说声抱歉,我看了几天了,还是不太清楚:(
您至少有 2 个选择
- 因为你有一个 java 服务,它是由一些 java http 服务器提供的,这些服务器是 jetty、tomcat、netty 或其他任何东西。根据您工作的 MS 环境,使用 Kerberos 或 NTLM 或两者将您的 http 服务器配置为 authenticate/authorize 针对 windows 域。根据您使用的 http 服务器,您可以找到一些特定的集成 howtos 服务器,例如https://tomcat.apache.org/tomcat-8.0-doc/windows-auth-howto.html or check the general java howtos e.g. https://docs.oracle.com/javase/10/security/single-sign-using-kerberos-java1.htm
- 或者您可以使用现有的(如果有的话)IIS 作为您服务的代理并在那里配置 authentication/authorization 因为它有必要的集成 ootb
在这两种情况下,您都需要为您的 service/http 服务器处理一个 AD 帐户,一个绑定到此帐户的 SPN(例如 HTTP/yourservice.com)和一个密钥表。
剩下的取决于你想要达到的集成水平。
希望对您有所帮助。
我是活动目录编程的新手。我需要设置一个只有经过身份验证的活动目录用户才能使用的服务。我一直在阅读 msdn 文档。我现在对整个设置的想法如下,
- 我已经在AD域中添加了我的电脑,我已经创建了用户。 (均为手动)
- 我写了一个简单的 REST 服务,它 returns "Hello world" 在 GET 调用上。我在 https://docs.microsoft.com/en-us/windows/desktop/ad/publishing-with-service-connection-points 中读到了 "service publication"。虽然现在不知道如何将我的 REST 服务注册为活动目录对象。在那个方向上的任何 example/lead 都会有所帮助。
- 我最后想做的和https://docs.microsoft.com/en-us/windows/desktop/ad/mutual-authentication-using-kerberos 差不多
a client application uses a service instance's service connection point (SCP) object in Active Directory Domain Services to retrieve data from which to compose an SPN for the service.
所以我的主要问题是可以像我的例子那样注册一个 web 服务来注册为活动目录 "domain enabled" 服务吗?
如果您需要有关上下文的更多详细信息,请告诉我。如果这个问题对你来说太简单了,那我先说声抱歉,我看了几天了,还是不太清楚:(
您至少有 2 个选择
- 因为你有一个 java 服务,它是由一些 java http 服务器提供的,这些服务器是 jetty、tomcat、netty 或其他任何东西。根据您工作的 MS 环境,使用 Kerberos 或 NTLM 或两者将您的 http 服务器配置为 authenticate/authorize 针对 windows 域。根据您使用的 http 服务器,您可以找到一些特定的集成 howtos 服务器,例如https://tomcat.apache.org/tomcat-8.0-doc/windows-auth-howto.html or check the general java howtos e.g. https://docs.oracle.com/javase/10/security/single-sign-using-kerberos-java1.htm
- 或者您可以使用现有的(如果有的话)IIS 作为您服务的代理并在那里配置 authentication/authorization 因为它有必要的集成 ootb
在这两种情况下,您都需要为您的 service/http 服务器处理一个 AD 帐户,一个绑定到此帐户的 SPN(例如 HTTP/yourservice.com)和一个密钥表。
剩下的取决于你想要达到的集成水平。
希望对您有所帮助。