У меня есть WebSphere на сервере AIX и простой java-клиент на Windows XP (подключается к серверу через http). Я хотел бы включить SSL для аутентификации клиента. В основном, у меня есть устройство для чтения смарт-карт.
Единственная проблема заключается в том, что смарт-карта уже используется один раз для доступа к Windows, и мы хотели бы избавить клиента от повторного ввода PIN-кода при запуске клиентского приложения.
Я начал много читать об SSO, который, как меня уверяли, может решить мою проблему. Это привело меня к тому, что я прочитал о поддержке WebSphere SPENGO в их красных книгах. Проблема в том, что это предполагает большую поддержку со стороны людей из Active Directory - и они не очень хотят помогать - и я также боюсь, что их участие может замедлить интеграцию.
Итак, теперь я изучаю OpenSSO, WAFFLE, JOSSO и другие фреймворки, которые могут мне помочь.
Но подождите - все это кажется серьезным превышением спецификации. Все, что я хотел, это сохранить для моего клиента вторую подсказку на смарт-карте. То, что я действительно хочу, это метод - один из следующих:
- Параметр Windows XP и более поздних версий, который позволит мне восстановить сертификат внутри смарт-карты (наряду с некоторым доступом к возможностям шифрования/дешифрования для аутентификации сертификата).
-Какой-то доступ к окнам, чтобы позволить мне эти параметры
-Возможно, какой-то метод java pkcs # 11, который позволит мне получить доступ к тому же соединению, что и Windows.
- Является ли такая способность специфичной для продавца?
Это вообще возможно? Запись единого входа Википедии http://en.wikipedia.org/wiki/Single_sign-on говорит об SSO со смарт-картами, но пока я не смог найти способ, как это сделать. Все, что я знаю, это то, что моя смарт-карта выдает запрос во второй раз, если я пытаюсь использовать ее с обычным кодом pkcs#11.
Подводя итог: 1. Есть ли специфические для Windows/verndor/java функции, позволяющие мне использовать систему единого входа с помощью смарт-карты. 2. Если нет или если это не рекомендуется, какое другое решение SSO мне следует использовать, учитывая, что я не хочу зависеть от людей из Active Directory? 3. В худшем случае, когда SSO может быть эффективно достигнут только с помощью Kerberose и ActiveDirectory — какая реализация может быть менее требовательной со стороны ActiveDirectory?
Спасибо.