本篇主要是基于LDAP的SSO,即打开网站就可以实现自动与域控的账户认证,如果设备已经登陆了域账号,那么就可以使用域账号自动登录网站,首次会自动注册并登录,除了SSO通常还有Kerberos。
在使用AD域账号自动登录网站的测试,包括wordpress、drupal、joomla、discuz这篇文章的结尾,也有提及相关的设置,以下是Windows上iis的相关SSO设置。
一、iis设置
1、iis中的这个网站启用windows身份验证,同时禁用匿名身份验证
2、选择windows身份验证后,点击右边提供程序,这一步一般不用修改什么,因为默认已经存在程序在里面了。
3、进入iis中这个网站的配置编辑器,选择以下路径:system.webServer/security/authentication/windowsAuthentication,将useKernelMode更改为ture。
此外,除了iis,Windows上Apache,Linux上Apache也可以进行相关设置,但我在测试Windows上Apache时,加载mod_authn_ntlm模块时一直失败,对版本也有要求,就没有继续测试。而且由于使用的是Windows活动目录,所以环境还是在Windows上搭建,就也没在Linux上测试。
二、浏览器设置
想要实现浏览器访问网站自动识别域账号登录,还需要对浏览器做一些设置。
IE浏览器:在Internet选项中,Internet 选项 –安全–本地 Intranet站点中添加你的网站。
正常情况我们会在域控策略中设置,让域中的所有设备都能实现自动登录,Windows 组件–Internet Explorer–Internet 控制面板–安全页–站点到区域分配列表启用–点击显示,值名称输入域名,值输入1。组策略同步后,域中设备将自动把域名加入本地 Intranet站点。