我试图从简单LDAP身份验证切换到GSSAPI
身份验证。使用Active Directory用户主体名称的Java Kerberos身份验证
我使用Krb5LoginModule
来执行身份验证时,将用户名设置为用户的UPN
,看起来像[email protected]
其中后缀不是域名。
验证失败,因为Krb5LoginModule假定名称格式为[email protected]
。
是否有任何选项将包含@的用户名传递给Krb5LoginModule,以便它将使用完整的用户名而不从用户名中提取领域?
使用sAMAccountName的作品,但我没有用户的sAMAccountName,但UPN。
用户登录到Windows作品使用UPN
和我在网络中看到捕获的唯一区别是,在其中使用Windows登录名型是KRB5-NT-ENTERPRISE-PRINCIPAL
和KerberosString
包括全UPN
名作为相反KRB5-NT-PRINCIPAL
和KerberosString
具有截短UPN
名由Java发送。
谢谢。我不得不切换到sAMAccountName。 –