Autentification Silent Sign-on avec Apache Tomcat et LDAP

Le but recherché est que mes deux applications web, intégrées dans Apache Tomcat 5.5.9, aient une autentification du client via un serveur LDAP.

Ceci est possible, cependant, j'aimerais que le login/mot de passe (rentré lors de l'ouverture de la session windows via le serveur LDAP -> soit Active Directory de Windows 2003 Serveur) soit pris en compte et transmis automatiquement lors de l'autentification de mes deux applications web, donc qu'il y n'ait plus de mot de passe à taper excepté à l'ouverture de la session windows (login et mot de passe identiques).

A noter que les clients utilisent uniquement des navigateurs internet explorer.

Structure du serveur :
--------------------------

{TOMCAT} /
|
----- conf /
|
------conf.xml

extrait de conf.xml
----------------------

<Realm className="org.apache.catalina.realm.JNDIRealm" debug="99"
connectionName="LoginDomainUsersXX1"
connectionPassword="passowrdXX1"

connectionURL="ldap://xxx.x.x.xx:389"

userSubtree="true"
userSearch="sAMAccountName={0}"
userBase="ou=xxx,dc=xxx,dc=xxx"

roleBase="ou=xxx,dc=xxx,dc=xxx"
roleName="cn"
roleSubtree="true"
roleSearch="member={0}"
/>


{TOMCAT} /
|
----- webapps /
|
------application01 /
|
--------WEB-INF /
|
-------- web.xml

Extrait de web.xml
----------------------

<security-constraint>
<web-resource-collection>
<web-resource-name>Entire Application</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>RoleXXX</role-name>
</auth-constraint>
</security-constraint>
<security-role>
<description>
The role is required to log into ApplicationXX01
</description>
<role-name>RoleXXX</role-name>
</security-role>
<login-config>
<auth-method>BASIC</auth-method>
<realm-name>ApplicationXX01</realm-name>
</login-config>

{TOMCAT} /
|
----- webapps /
|
------application02 /
|
--------WEB-INF /
|
-------- web.xml

Extrait de web.xml
----------------------

<security-constraint>
<web-resource-collection>
<web-resource-name>Entire Application</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>RoleXXX</role-name>
</auth-constraint>
</security-constraint>
<security-role>
<description>
The role is required to log into ApplicationXX02
</description>
<role-name>RoleXXX</role-name>
</security-role>
<login-config>
<auth-method>BASIC</auth-method>
<realm-name>ApplicationXX02</realm-name>
</login-config>

Merci d'avance pour vos réponses :idea:

Une réponse existe sur le site de microsoft concernant le passage automatique de login/password de Internet Explorer au serveur web.


http://support.microsoft.com/?scid=k...58063&x=12&y=9

Internet Explorer demande un mot de passe lorsque vous utilisez l'authentification de base (texte clair) ou authentification Digest.

Internet Explorer ne passe pas votre nom d'utilisateur et mot de passe automatiquement lorsque vous utilisez l'authentification de base (texte clair) ou authentification Digest. Par conséquent vous des informations d'identification sont toujours demandées lorsque vous utilisez ces méthodes d'authentification.

Dans le cas ici présent l'authentification se fait en mode BASIC ce qui ,selon le document Microsoft, ne permet pas une authentification automatique entre Internet Explorer et Apache Tomcat.

Il y a bien une possibilité de mettre en place une authentification NTLM avec Apache Tomcat, mais je suppose que l'utilisateur est valide s'il appartient à un domaine particulier sans s'assurer qu'il fasse parti de tel ou tel rôle au sein de Active Directory :

http://jcifs.samba.org/src/docs/ntlm...th.html#tomcat

Ayant abandonné l'idée de s'authentifier de manière totalement transparente, je suis OK avec le fait de taper une authentification lors de l'accès à l'APPLICATION01.

Cependant, l'APPLICATION01 a un lien sur l'APPLICATION02. Lorsque l'on clique sur ce lien (chez un de mes clients, ce que je n'arrive plus reproduire chez moi) c'est qu'une deuxième fenêtre d'authentification s'ouvre.

Les paramètres des deux 'web.xml' et du 'server.xml' sont comme décrits plus haut chez moi et chez le client. Les navigateurs utilisés sont IE.

Aussi, je n'ai pas configuré comme cela est décrit dans la doc de Tomcat :
http://tomcat.apache.org/tomcat-5.5-...le%20Sign%20On

Merci pour votre aide.