自动以当前域用户身份登录

有很多企业的办公电脑是windows机器，用域管理是通常的管理方式，方便授权、软件安装，技术支持。

既然电脑加域了，用户又以域用户身份登录使用电脑，那么在访问内部网站时是不是可以不用输入账号密码，自动以当前域用户身份登录呢？

当然是可以的，不过"自动"二字需要在电脑上做以下配置，当然也可以做成AD的组策略对指定用户群体应用。

1 控制面板/Internet选项/安全/本地Intranet

2 站点/高级 将网站添加到该区域 关闭 确定

3 自定义级别/用户身份验证/登录/自动使用当前用户名和密码登录 确定

4 确定

电脑端这么配置后，使用谷歌chrome或者微软edge就没有什么需要进一步配置的地方了。

那么web服务器应该怎么配置才能识别用户当前身份呢？

先说个简单的场景吧 nginx + node&express ，需要再引入一个express-ntlm模块即可

当然你也可以不需要nginx，直接node express面向用户提供服务

const express = require("express");
const app = express();
const ntlm = require('express-ntlm');
...
app.get('/ntlm', ntlm({
	domain: domainname,
	domaincontroller: ldapserver
	}),(req, res)=> {
	let ntlmuser=req.ntlm["UserName"].toLowerCase();
	req.session.user={ userid:ntlmuser};
	//console.log(req.session.user)
	...
	})

虽然可以这样用

app.user(ntml({domain: domainname,domaincontroller: ldapserver}))

当时其实没有必要，而且ntlm认证总还有时间和资源开销的，建议仅认证时使用这个中间件，其他时候访问直接访问session检查用户了。

如果express直接面向用户提供服务，这样就可以了。

在nginx做反向代理发布的场景下，还需要在nginx.conf里配置下keepalive参数，确保ntlm认证期间，连接保持，而不被重置。

...
	upstream ntlm_stream {
		server webapp.corpname.com:3456;
		keepalive 1; 
		keepalive_requests 3;
		keepalive_timeout 3s;
	}
...
    location /sso/ntlm {
        proxy_pass http://ntlm_stream/ntlm;
        proxy_http_version 1.1;
        proxy_set_header Connection "";
	proxy_set_header X-Real-IP $remote_addr;
	proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
	proxy_set_header Host $host;
        }