我在使用IE8的NTLM单点login时遇到问题。
我们有多个域控制器和来自多个域的用户,我们尝试通过NTLMv1 passthru向Web应用程序进行身份validation。
不知何故,IE无法发送NTLMtypes1消息中的用户域。 这样做的结果是,webapp无法将用户正确地匹配到其域控制器,导致login尝试失败,因为来自域X的用户尝试向域控制器Y进行身份validation。
Firefox不会出现这个问题,因为它总是发送正确的域标头。
那么:如何让IE发送域名到NTLM头?
如果它是本地内联网的一部分,IE将只能通过该域。 检查您的Intranet设置/组策略以确定是否closures了该部分。
好吧,我想我find了解决办法。 IE永远不会发送域名,除非目标是本地主机。 所以如果ntlm实现不能推迟AD的parsing,直到消息types3,那么你倒霉了。
这个问题的详细讨论: http ://lists.samba.org/archive/jcifs/2004-April/003363.html