Ldap 如何为Windows身份验证和多域Active Directory配置WSO2？

我们正在使用WSO2 Identity Server 5.2.0。 在我们的一个客户端站点上，我们有一个场景，需要根据2个Active Directory（LDAP）域对用户进行身份验证。 在此设置中，我们还启用了IWA（集成Windows身份验证）。 您能告诉我们在这种情况下应该如何配置WSO2吗

我们已经阅读了WSO2 IS文档，该文档描述了如何在user-mgt.xml文件中配置多个用户存储，但它似乎在没有集成Windows身份验证（IWA）的情况下正常工作，其中向用户显示登录页面，用户可以选择在用户名前面指定域名，但在IWA情况下似乎不起作用

您能告诉我们如何处理这种情况吗？请向我们提供描述此配置的文档

---

多域身份验证可以与IWA一起使用吗？

IWA利用NTLM根据浏览器和服务器之间传递的加密票据/消息对用户进行身份验证。您需要在两个Active Directory域之间配置外部信任，以使NTLM令牌交换正常工作

以下文章[1]提供了使用WSO2 Identity Server 5.2.0为多windows域环境设置IWA身份验证的详细指南

---

[1]

感谢您的快速回复。我们的客户已经创建了AD林，并启用了域之间的双向信任。根据您共享的上述帖子，我们不需要在WSO2中配置两个UserStoreManager（两个域）。它将只连接到一个域，但由于信任，来自其他域的用户将被验证。我的假设是真的吗？请指导。我们是否需要在域1中与域2的用户创建任何组，以便身份验证工作？从域2从计算机访问URL时出现以下错误。从WSO2日志中，我们可以看到域2的用户正在尝试登录，但身份验证失败。TID:[-1234][[2018-01-17 14:17:24881]信息{org.WSO2.carbon.identity.application.authenticator.iwa.servlet.IWAServlet}-成功登录用户：Domain2\Q010101 TID:[-1234][[2018-01-17 14:17:25362]错误{org.wso2.carbon.identity.application.authentication.framework.handler.step.impl.DefaultStepHandler}-在org.wso2.carbon.identity.application.authenticator.iwa.IWAAuthenticator.processAuthenticationResonse（IWAAuthenticator.java:111）进行身份验证失败请在调试模式下附加完整异常。这两个域是完全不同的域还是子域？这两个域是完全不同的域，并且它们之间启用了双向信任。可能存在重复的