Änderungen von Dokument Einmalanmeldung

Von Version < 10.2 >
bearbeitet von gru
am 10.03.2021, 09:53
Auf Version < 8.7 >
bearbeitet von awa
am 20.05.2019, 12:05
< >
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Dokument-Autor
... ... @@ -1,1 +1,1 @@
1 -XWiki.gru
1 +XWiki.awa
Tags
... ... @@ -1,1 +1,0 @@
1 -SSO|Single-Sign-On|Single|NTLM
Inhalt
... ... @@ -20,9 +20,9 @@
20 20  
21 21  === Domain-Controller Host ===
22 22  
23 -Host (FQN) des ActiveDirectory Controller für die {{smallcaps}}Ntlm{{/smallcaps}}-Authentifizierung eines Benutzers und die anschließende Ermittlung dessen Daten über {{smallcaps}}Ldap{{/smallcaps}}.
23 +Host (FQN) des ActiveDirectory Controller für die {{smallcaps}}Ntlm{{/smallcaps}}-Authentifizierung eines Benutzers und die anschließende Ermittlung dessen Daten über LDAP.
24 24  
25 -{{code language="none"}}
25 +{{code}}
26 26  Beispiel: domain.example.de
27 27  {{/code}}
28 28  
... ... @@ -34,7 +34,7 @@
34 34  
35 35  Hostname des Active-Directory-Controller.
36 36  
37 -{{code language="none"}}
37 +{{code}}
38 38  Beispiel: domain
39 39  {{/code}}
40 40  
... ... @@ -42,7 +42,7 @@
42 42  
43 43  Hier können je nach AD verschiedene Schreibweisen des Domainnamen verwendet werden.
44 44  
45 -{{code language="none"}}
45 +{{code}}
46 46  Beispiel: example.de oder example0
47 47  {{/code}}
48 48  
... ... @@ -62,7 +62,7 @@
62 62  Ein Computer-Account ist am '$'-Zeichen im Domain-Namen erkennbar. z.B. example$@domain.de
63 63  {{/info}}
64 64  
65 -Beschreibung für die Vorgehensweise zur Erzeugung eines Computer-Accounts im //Active Directory Server// (externer Link): [[Creating a Computer Account for NTLM Authentication>>https://techdocs.broadcom.com/content/broadcom/techdocs/us/en/ca-enterprise-software/layer7-api-management/api-gateway/9-3/policy-assertions/assertion-palette/access-control-assertions/require-ntlm-authentication-credentials-assertion/creating-a-computer-account-for-ntlm-authentication.html||rel="__blank" title="Creating a Computer Account for NTLM Authentication"]]
65 +Beschreibung für die Vorgehensweise zur Erzeugung eines Computer-Accounts im //Active Directory Server// (externer Link): [[Creating a Computer Account for NTLM Authentication>>url:https://wiki.ca.com/display/GATEWAY83/Creating+a+Computer+Account+for+NTLM+Authentication||rel="__blank" title="Creating a Computer Account for NTLM Authentication"]]
66 66  
67 67  === Computerkontopasswort ===
68 68  
... ... @@ -74,11 +74,11 @@
74 74  
75 75  === Port ===
76 76  
77 -Der zu verwende Port für die Verbindung mit dem {{smallcaps}}Ldap{{/smallcaps}}-Server zur Nutzersuche
77 +Der zu verwende Port für die Verbindung mit dem LDAP-Server zur Nutzersuche
78 78  
79 79  === SSL-Verbindung ===
80 80  
81 -Ermöglich das Aktivierung der SSL-verschlüsselten Kommunikation mit dem {{smallcaps}}Ldap{{/smallcaps}}-Server.
81 +Ermöglich das Aktivierung der SSL-verschlüsselten Kommunikation mit dem LDAP-Server
82 82  
83 83  === Verweis-Sprünge ===
84 84  
... ... @@ -86,9 +86,9 @@
86 86  
87 87  === Nutzerkonto (mit Domainangabe) ===
88 88  
89 -Konto für die Benutzersuche innerhalb des {{smallcaps}}Ldap{{/smallcaps}}-Servers. Dieses Konto muss entsprechende Rechte für eine Nutzersuche besitzen.
89 +Konto für die Benutzersuche innerhalb des LDAP-Servers. Dieses Konto muss entsprechende Rechte für eine Nutzersuche besitzen.
90 90  
91 -{{code language="none"}}
91 +{{code}}
92 92  Beispiel: ldap@example.de
93 93  {{/code}}
94 94  
... ... @@ -98,9 +98,9 @@
98 98  
99 99  === BaseDN für Suche ===
100 100  
101 -{{smallcaps}}Ldap{{/smallcaps}} BaseDN unter der die zu authentifizierten Benutzer gesucht werden sollen.
101 +LDAP BaseDN unter der die zu authentifizierten Benutzer gesucht werden sollen.
102 102  
103 -{{code language="none"}}
103 +{{code}}
104 104  Beispiel: ou="users", dc="example", dc="de"
105 105  {{/code}}
106 106  
... ... @@ -126,7 +126,7 @@
126 126  === Nutzername ===
127 127  
128 128  Windows Domain Account, welcher für den Zugriff auf das Key Distribution Center (KDC) benötigt wird, um den nachfolgenden Authentifizierungsprozess einzuleiten.
129 -In den meisten Fällen ist dies ein User-Account aus dem AD, welcher als Service-Account fungiert und nicht zur Anmeldung an einer Workstation gedacht ist.
129 +In den meisten Fällen ist dies ein User-Account aus dem AD, welcher als Service-Account fungiert und nicht zur Anmeldung an einer Workstation gedacht ist. 
130 130  
131 131  {{info}}
132 132  Es wird ein Nutzername mit Domainangabe (FQDN) benötigt, wenn in der **krb5.conf** Datei, unter dem Abschnitt //[libdefaults]//, kein **default_realm** definiert ist.
... ... @@ -133,11 +133,6 @@
133 133  //Beispiel: user@EXCAMPLE.COM //
134 134  {{/info}}
135 135  
136 -{{info}}
137 -Diesem Benutzer müssen z.B. im Active Directory die zu verwendeten Domians als ServiePrincipalName beginnend mit der Serviceklasse HTTP registriert werden. Mehr dazu finden Sie [[hier>>https://social.technet.microsoft.com/wiki/contents/articles/717.service-principal-names-spn-setspn-syntax.aspx||target="_blank"]] oder [[hier>>https://docs.microsoft.com/en-us/windows-server/networking/sdn/security/kerberos-with-spn||target="_blank"]].
138 -{{/info}}
139 -
140 -(% class="wikigeneratedid" %)
141 141  === Passwort ===
142 142  
143 143  Passwort des oben genannten Service-Accounts
... ... @@ -245,6 +245,7 @@
245 245  Der Name, welcher in der //login.conf// Datei für die Definition des Servers verwendet wird.
246 246  
247 247  {{error}}
243 +
248 248  Sollte es bei aktiviertem Kerberos vereinzelt oder dauerhaft zu Fehlern beim Formular-Aufruf kommen (HTTP-Status 400), so überschreitet das Kerberos-Ticket die standardmäßige Größenlimitierung des HTTP-Headers durch den Anwendungsserver (z.B. Tomcat). Eine Lösung bringt die Erhöhung dieser Limitierung welche [[hier>>doc:Formcycle.SystemSettings.TomcatSettings.LimitHTTPHeader]] beschrieben wird.
249 249  {{/error}}
250 250  
... ... @@ -287,22 +287,22 @@
287 287  
288 288  == Ausgelesene LDAP-Nutzerdaten im Designer verarbeiten ==
289 289  
290 -Die zum authentifizierten Nutzer ermittelten Eigenschaften aus dem LDAP werden im **XFC_METADATA**-Objekt abgelegt und stehen dadurch im Formular zur Verfügung. Am JSON-Objekt **user** befindet sich die Eigenschaft **rawData**, welche die ermittelten Daten als JSON-Struktur beinhaltet.
286 +Die zum authentifizierten Nutzer ermittelten Eigenschaften aus dem LDAP werden im **XFC_METADATA**-Objekt abgelegt und stehen dadurch im Formular zur Verfügung. Am JSON-Objekt **currentUser** befindet sich die Eigenschaft **ldap**, welche die ermittelten Daten als JSON-Struktur beinhaltet.
291 291  
292 292  {{info}}
293 -Welche Daten die JSON-Struktur unter der **rawData **Eigenschaft beinhaltet, hängt maßgeblich von den Leserechten des LDAP-Accounts ab,
289 +Welche Daten die JSON-Struktur unter der **ldap** Eigenschaft beinhaltet, hängt maßgeblich von den Leserechten des LDAP-Accounts ab,
294 294  welcher die Nutzersuche im LDAP-System durchführt.
295 295  {{/info}}
296 296  
297 297  Das nachfolgende JS-Codeschnipsel zeigt einen Zugriff auf die LDAP-Eigenschaft //userPrincipalName// mittels JS im Designer:
298 298  
299 -{{code language="javascript"}}
295 +{{code language="javascript" title=""}}
300 300  try {
301 301   // Auslesen der Property und Anzeige in einem Label
302 302   var elem = $('[name=txt1]');
303 - var ldap = XFC_METADATA.user.rawData;
299 + var ldap = XFC_METADATA.currentUser.ldap;
304 304   if(ldap.hasOwnProperty('userPrincipalName')) {
305 - elem.html(ldap.userPrincipalName);
301 + elem.append(ldap.userPrincipalName);
306 306   }
307 307  } catch (err) {}
308 308  {{/code}}

Navigation

Copyright 2000-2024