OpenCms: аутентификация Kerberos SSO с помощью httpd+Tomcat

У меня есть отдельная установка httpd+Tomcat 8.5.65 на OpenJDK 11 с OpenCms 11.0.2 для внутреннего веб-сайта моего клиента.

У них есть сеть LDAP, и они запрашивают автоматический вход с помощью Kerberos (krb5).

Мы настроили SPNego, и он работает на Tomcat: тестовая страница JSP, содержащая код:

 <%= request.getRemoteUser() %> 

работает по назначению (выводит имя пользователя) при прямом доступе через tomcat (порт 8080). Но когда я получаю доступ к OpenCms через Tomcat, эта аутентификация не работает. В частности, CmsJspLoginBean объекты isLoggedIn() метод возвращает ЛОЖЬ. Другими словами, текущий пользователь — [Гость].

Есть ли что-то, что мне нужно сделать, чтобы «подключить» OpenCms к Kerberos на стороне OpenCms, зная, что Tomcat уже правильно настроен?

Кроме того: в OpenCms установлен LDAP-коннектор, и он работает, я не думаю, что это имеет какое-либо отношение к этому.

Да, вам необходимо сопоставить удаленного пользователя с реестром пользователей OpenCms и по запросу создать сеанс с OpenCms для этого удаленного пользователя. В идеале это делается с помощью вашей собственной реализации аутентификатора пользователя, что обеспечивает по-настоящему бесшовную систему единого входа (без ракетостроения).Дайте мне знать, если вам нужна дополнительная помощь с этим.