Änderungen von Dokument Einmalanmeldung
Änderungskommentar:
Neues Bild single_sign_on_ntlm_en.png hochladen
Zusammenfassung
-
Seiteneigenschaften (3 geändert, 0 hinzugefügt, 0 gelöscht)
-
Anhänge (0 geändert, 4 hinzugefügt, 2 gelöscht)
Details
- Seiteneigenschaften
-
- Dokument-Autor
-
... ... @@ -1,1 +1,1 @@ 1 -XWiki. gru1 +XWiki.nlo - Tags
-
... ... @@ -1,0 +1,1 @@ 1 +SSO|Single-Sign-On|Single|NTLM|Kerberos - Inhalt
-
... ... @@ -1,18 +1,20 @@ 1 -D a Kerberosund NTLM jetzt imEinmalanmeldemenüzusammensind,mussdiese Seite in deutsch und englisch neu erstelltwerden. Der Inhaltder beidenaltenSeiten befindetsicherstmalnoch hier:1 +Die //Einmalanmeldung// für {{smallcaps}}Ntlm{{/smallcaps}} und Kerberos ist ein kostenpflichtiges {{formcycle/}} Zusatzmodul. 2 2 3 3 {{content/}} 4 4 5 -{{figure image="ntlm" width="300"/}} 5 +{{figure image="single_sign_on_ntlm_de.png" width="600"}} 6 +Nutzeroberfläche für die Einstellungen zu {{smallcaps}}Ntlm{{/smallcaps}}. Sie ist nur verfügbar, wenn die Lizenz dies erlaubt. 7 +{{/figure}} 6 6 7 -N TLMwird für die Authentifizierung von Formularbenutzern verwendet. Ein typisches Einsatzszenario sind Formulare, die intern von Mitarbeitern eines Unternehmens aufgerufen werden. Über NTLMkann das Formular auf die Benutzerdaten des angemeldeten ActiveDirectory zugreifen.9 +{{smallcaps}}Ntlm{{/smallcaps}} wird für die Authentifizierung von Formularbenutzern verwendet. Ein typisches Einsatzszenario sind Formulare, die intern von Mitarbeitern eines Unternehmens aufgerufen werden. Über {{smallcaps}}Ntlm{{/smallcaps}} kann das Formular auf die Benutzerdaten des angemeldeten ActiveDirectory zugreifen. 8 8 9 9 {{info}} 10 -N TLMist nur verfügbar, wenn die Lizenz dies erlaubt.12 +{{smallcaps}}Ntlm{{/smallcaps}} ist nur verfügbar, wenn die Lizenz dies erlaubt. 11 11 {{/info}} 12 12 13 13 == NTLM nutzen == 14 14 15 -Mit diesem Schalter lässt sich die N TLM-Benutzerauthentifizierung für Formulare aktivieren bzw. deaktivieren17 +Mit diesem Schalter lässt sich die {{smallcaps}}Ntlm{{/smallcaps}}-Benutzerauthentifizierung für Formulare aktivieren bzw. deaktivieren 16 16 17 17 === Mit {{fserver/}} synchronisieren === 18 18 ... ... @@ -20,21 +20,21 @@ 20 20 21 21 === Domain-Controller Host === 22 22 23 -Host (FQN) des ActiveDirectory Controller für die N TLM-Authentifizierung eines Benutzers und die anschließende Ermittlung dessen Daten über LDAP.25 +Host (FQN) des ActiveDirectory Controller für die {{smallcaps}}Ntlm{{/smallcaps}}-Authentifizierung eines Benutzers und die anschließende Ermittlung dessen Daten über {{smallcaps}}Ldap{{/smallcaps}}. 24 24 25 -{{code}} 27 +{{code language="none"}} 26 26 Beispiel: domain.example.de 27 27 {{/code}} 28 28 29 29 == NTLM-Authentifizierung == 30 30 31 -Die folgenden Einstellungen sind für die Authentifizierung eines Benutzers mittels N TLMnotwendig:33 +Die folgenden Einstellungen sind für die Authentifizierung eines Benutzers mittels {{smallcaps}}Ntlm{{/smallcaps}} notwendig: 32 32 33 33 === Hostname des Domain-Controller Hosts === 34 34 35 35 Hostname des Active-Directory-Controller. 36 36 37 -{{code}} 39 +{{code language="none"}} 38 38 Beispiel: domain 39 39 {{/code}} 40 40 ... ... @@ -42,7 +42,7 @@ 42 42 43 43 Hier können je nach AD verschiedene Schreibweisen des Domainnamen verwendet werden. 44 44 45 -{{code}} 47 +{{code language="none"}} 46 46 Beispiel: example.de oder example0 47 47 {{/code}} 48 48 ... ... @@ -62,7 +62,7 @@ 62 62 Ein Computer-Account ist am '$'-Zeichen im Domain-Namen erkennbar. z.B. example$@domain.de 63 63 {{/info}} 64 64 65 -Beschreibung für die Vorgehensweise zur Erzeugung eines Computer-Accounts im //Active Directory Server// (externer Link): [[Creating a Computer Account for NTLM Authentication>> url:https://wiki.ca.com/display/GATEWAY83/Creating+a+Computer+Account+for+NTLM+Authentication||rel="__blank" title="Creating a Computer Account for NTLM Authentication"]]67 +Beschreibung für die Vorgehensweise zur Erzeugung eines Computer-Accounts im //Active Directory Server// (externer Link): [[Creating a Computer Account for NTLM Authentication>>https://techdocs.broadcom.com/content/broadcom/techdocs/us/en/ca-enterprise-software/layer7-api-management/api-gateway/9-3/policy-assertions/assertion-palette/access-control-assertions/require-ntlm-authentication-credentials-assertion/creating-a-computer-account-for-ntlm-authentication.html||rel="__blank" title="Creating a Computer Account for NTLM Authentication"]] 66 66 67 67 === Computerkontopasswort === 68 68 ... ... @@ -70,15 +70,15 @@ 70 70 71 71 == LDAP-Benutzersuche == 72 72 73 -Die folgenden Einstellungen sind für eine Nutzersuche nach erfolgter N TLM-Authentifizierung notwendig:75 +Die folgenden Einstellungen sind für eine Nutzersuche nach erfolgter {{smallcaps}}Ntlm{{/smallcaps}}-Authentifizierung notwendig: 74 74 75 75 === Port === 76 76 77 -Der zu verwende Port für die Verbindung mit dem L DAP-Server zur Nutzersuche79 +Der zu verwende Port für die Verbindung mit dem {{smallcaps}}Ldap{{/smallcaps}}-Server zur Nutzersuche 78 78 79 79 === SSL-Verbindung === 80 80 81 -Ermöglich das Aktivierung der SSL-verschlüsselten Kommunikation mit dem L DAP-Server83 +Ermöglich das Aktivierung der SSL-verschlüsselten Kommunikation mit dem {{smallcaps}}Ldap{{/smallcaps}}-Server. 82 82 83 83 === Verweis-Sprünge === 84 84 ... ... @@ -86,9 +86,9 @@ 86 86 87 87 === Nutzerkonto (mit Domainangabe) === 88 88 89 -Konto für die Benutzersuche innerhalb des L DAP-Servers. Dieses Konto muss entsprechende Rechte für eine Nutzersuche besitzen.91 +Konto für die Benutzersuche innerhalb des {{smallcaps}}Ldap{{/smallcaps}}-Servers. Dieses Konto muss entsprechende Rechte für eine Nutzersuche besitzen. 90 90 91 -{{code}} 93 +{{code language="none"}} 92 92 Beispiel: ldap@example.de 93 93 {{/code}} 94 94 ... ... @@ -98,22 +98,21 @@ 98 98 99 99 === BaseDN für Suche === 100 100 101 -L DAPBaseDN unter der die zu authentifizierten Benutzer gesucht werden sollen.103 +{{smallcaps}}Ldap{{/smallcaps}} BaseDN unter der die zu authentifizierten Benutzer gesucht werden sollen. 102 102 103 -{{code}} 105 +{{code language="none"}} 104 104 Beispiel: ou="users", dc="example", dc="de" 105 105 {{/code}} 106 106 107 - 108 - 109 - 110 110 == Einstellungen für Kerberos Authentifizierung == 111 111 112 -{{figure image="kerberos"}}Nutzeroberfläche für die Einstellungen zu Kerberos. Nur verfügbar, wenn die Lizens dies erlaubt.{{/figure}} 111 +{{figure image="single_sign_on_kerberos_de.png" width="600"}} 112 +Nutzeroberfläche für die Einstellungen zu Kerberos. Nur verfügbar, wenn die Lizens dies erlaubt. 113 +{{/figure}} 113 113 114 114 Kerberos wird für die Authentifizierung von Formularbenutzern verwendet. Ein typischen Einsatzszenario sind Formulare, die "intern" von Mitarbeitern eines Unternehmens aufgerufen werden. In einem nachgeordneten Schritt kann das Formular dann Benutzerdaten des angemeldeten Nutzers aus dem ActiveDirectory bereitstellen. 115 115 116 -Kerberos muss als Lizenz-Option freigeschaltet sein! 117 +Kerberos muss als Lizenz-Option freigeschaltet sein! 117 117 Ist dies der Fall, können folgende Einstellungen bearbeitet werden: 118 118 119 119 === Kerberos nutzen === ... ... @@ -127,7 +127,7 @@ 127 127 === Nutzername === 128 128 129 129 Windows Domain Account, welcher für den Zugriff auf das Key Distribution Center (KDC) benötigt wird, um den nachfolgenden Authentifizierungsprozess einzuleiten. 130 -In den meisten Fällen ist dies ein User-Account aus dem AD, welcher als Service-Account fungiert und nicht zur Anmeldung an einer Workstation gedacht ist. 131 +In den meisten Fällen ist dies ein User-Account aus dem AD, welcher als Service-Account fungiert und nicht zur Anmeldung an einer Workstation gedacht ist. 131 131 132 132 {{info}} 133 133 Es wird ein Nutzername mit Domainangabe (FQDN) benötigt, wenn in der **krb5.conf** Datei, unter dem Abschnitt //[libdefaults]//, kein **default_realm** definiert ist. ... ... @@ -134,9 +134,14 @@ 134 134 //Beispiel: user@EXCAMPLE.COM // 135 135 {{/info}} 136 136 138 +{{info}} 139 +Diesem Benutzer müssen z.B. im Active Directory die zu verwendeten Domians als ServiePrincipalName beginnend mit der Serviceklasse HTTP registriert werden. Mehr dazu finden Sie [[hier>>https://social.technet.microsoft.com/wiki/contents/articles/717.service-principal-names-spn-setspn-syntax.aspx||target="_blank"]] oder [[hier>>https://docs.microsoft.com/en-us/windows-server/networking/sdn/security/kerberos-with-spn||target="_blank"]]. 140 +{{/info}} 141 + 142 +(% class="wikigeneratedid" %) 137 137 === Passwort === 138 138 139 -Passwort des o .g.Service-Accounts145 +Passwort des oben genannten Service-Accounts 140 140 141 141 === Datei krb5.conf === 142 142 ... ... @@ -240,11 +240,8 @@ 240 240 241 241 Der Name, welcher in der //login.conf// Datei für die Definition des Servers verwendet wird. 242 242 243 - 244 - 245 - 246 246 {{error}} 247 -Sollte es bei aktiviertem Kerberos vereinzelt oder dauerhaft zu Fehlern beim Formular-Aufruf kommen (HTTP-Status 400), so überschreitet das Kerberos-Ticket die standardmäßige Größenlimitierung des HTTP-Headers durch den Anwendungsserver (z.B. Tomcat). Eine Lösung bringt die Erhöhung dieser Limitierung welche [[hier>>doc: Main.BeschraenkungderHTTP-Header-Groesse aendern]] beschrieben wird.250 +Sollte es bei aktiviertem Kerberos vereinzelt oder dauerhaft zu Fehlern beim Formular-Aufruf kommen (HTTP-Status 400), so überschreitet das Kerberos-Ticket die standardmäßige Größenlimitierung des HTTP-Headers durch den Anwendungsserver (z.B. Tomcat). Eine Lösung bringt die Erhöhung dieser Limitierung welche [[hier>>doc:Formcycle.SystemSettings.TomcatSettings.LimitHTTPHeader]] beschrieben wird. 248 248 {{/error}} 249 249 250 250 == LDAP Benutzersuche == ... ... @@ -263,7 +263,7 @@ 263 263 264 264 === Verweis-Sprünge* === 265 265 266 -Gibt die maximale Anzahl von durchzuführenden Verweis-Sprüngen (Referrels-Hops) auf dem LDAP-Server an. 269 +Gibt die maximale Anzahl von durchzuführenden Verweis-Sprüngen (Referrels-Hops) auf dem LDAP-Server an. 267 267 Ein Wert von 0 deaktiviert ein Folgen von Verweisen. 268 268 269 269 === Nutzer-Account (mit Domainangabe)* === ... ... @@ -286,22 +286,22 @@ 286 286 287 287 == Ausgelesene LDAP-Nutzerdaten im Designer verarbeiten == 288 288 289 -Die zum authentifizierten Nutzer ermittelten Eigenschaften aus dem LDAP werden im **XFC_METADATA**-Objekt abgelegt und stehen dadurch im Formular zur Verfügung. Am JSON-Objekt ** currentUser** befindet sich die Eigenschaft **ldap**, welche die ermittelten Daten als JSON-Struktur beinhaltet.292 +Die zum authentifizierten Nutzer ermittelten Eigenschaften aus dem LDAP werden im **XFC_METADATA**-Objekt abgelegt und stehen dadurch im Formular zur Verfügung. Am JSON-Objekt **user** befindet sich die Eigenschaft **rawData**, welche die ermittelten Daten als JSON-Struktur beinhaltet. 290 290 291 291 {{info}} 292 -Welche Daten die JSON-Struktur unter der ** ldap**295 +Welche Daten die JSON-Struktur unter der **rawData **Eigenschaft beinhaltet, hängt maßgeblich von den Leserechten des LDAP-Accounts ab, 293 293 welcher die Nutzersuche im LDAP-System durchführt. 294 294 {{/info}} 295 295 296 296 Das nachfolgende JS-Codeschnipsel zeigt einen Zugriff auf die LDAP-Eigenschaft //userPrincipalName// mittels JS im Designer: 297 297 298 -{{code language="javascript" title=""}}301 +{{code language="javascript"}} 299 299 try { 300 300 // Auslesen der Property und Anzeige in einem Label 301 301 var elem = $('[name=txt1]'); 302 - var ldap = XFC_METADATA. currentUser.ldap;305 + var ldap = XFC_METADATA.user.rawData; 303 303 if(ldap.hasOwnProperty('userPrincipalName')) { 304 - elem. append(ldap.userPrincipalName);307 + elem.html(ldap.userPrincipalName); 305 305 } 306 306 } catch (err) {} 307 307 {{/code}}
- FCSnapshot27.png
-
- Author
-
... ... @@ -1,1 +1,0 @@ 1 -XWiki.gru - Größe
-
... ... @@ -1,1 +1,0 @@ 1 -59.5 KB - Inhalt
- ntlm.png
-
- Author
-
... ... @@ -1,1 +1,0 @@ 1 -XWiki.gru - Größe
-
... ... @@ -1,1 +1,0 @@ 1 -70.1 KB - Inhalt
- single_sign_on_kerberos_de.png
-
- Author
-
... ... @@ -1,0 +1,1 @@ 1 +XWiki.nlo - Größe
-
... ... @@ -1,0 +1,1 @@ 1 +35.0 KB - Inhalt
- single_sign_on_kerberos_en.png
-
- Author
-
... ... @@ -1,0 +1,1 @@ 1 +XWiki.nlo - Größe
-
... ... @@ -1,0 +1,1 @@ 1 +32.1 KB - Inhalt
- single_sign_on_ntlm_de.png
-
- Author
-
... ... @@ -1,0 +1,1 @@ 1 +XWiki.nlo - Größe
-
... ... @@ -1,0 +1,1 @@ 1 +35.8 KB - Inhalt
- single_sign_on_ntlm_en.png
-
- Author
-
... ... @@ -1,0 +1,1 @@ 1 +XWiki.nlo - Größe
-
... ... @@ -1,0 +1,1 @@ 1 +33.4 KB - Inhalt