| ... |
... |
@@ -1,20
+1,18 @@ |
|
1 |
+Da Kerberos und NTLM jetzt im Einmalanmeldemenü zusammen sind, muss diese Seite in deutsch und englisch neu erstellt werden. Der Inhalt der beiden alten Seiten befindet sich erstmal noch hier: |
|
2 |
+ |
| 1 |
1 |
{{content/}} |
| 2 |
2 |
|
| 3 |
|
-{{figure image="single_sign_on_ntlm_de.png" width="600"}} |
| 4 |
|
-Nutzeroberfläche für die Einstellungen zu {{smallcaps}}Ntlm{{/smallcaps}}. Nur verfügbar, wenn die Lizens dies erlaubt. |
| 5 |
|
-{{/figure}} |
|
5 |
+{{figure image="ntlm" width="300"/}} |
| 6 |
6 |
|
| 7 |
|
-Die //Einmalanmeldung// für {{smallcaps}}Ntlm{{/smallcaps}} und Kerberos ist ein kostenpflichtiges {{formcycle/}} Zusatzmodul. |
|
7 |
+NTLM wird für die Authentifizierung von Formularbenutzern verwendet. Ein typisches Einsatzszenario sind Formulare, die intern von Mitarbeitern eines Unternehmens aufgerufen werden. Über NTLM kann das Formular auf die Benutzerdaten des angemeldeten ActiveDirectory zugreifen. |
| 8 |
8 |
|
| 9 |
|
-{{smallcaps}}Ntlm{{/smallcaps}} wird für die Authentifizierung von Formularbenutzern verwendet. Ein typisches Einsatzszenario sind Formulare, die intern von Mitarbeitern eines Unternehmens aufgerufen werden. Über {{smallcaps}}Ntlm{{/smallcaps}} kann das Formular auf die Benutzerdaten des angemeldeten ActiveDirectory zugreifen. |
| 10 |
|
- |
| 11 |
11 |
{{info}} |
| 12 |
|
-{{smallcaps}}Ntlm{{/smallcaps}} ist nur verfügbar, wenn die Lizenz dies erlaubt. |
|
10 |
+NTLM ist nur verfügbar, wenn die Lizenz dies erlaubt. |
| 13 |
13 |
{{/info}} |
| 14 |
14 |
|
| 15 |
15 |
== NTLM nutzen == |
| 16 |
16 |
|
| 17 |
|
-Mit diesem Schalter lässt sich die {{smallcaps}}Ntlm{{/smallcaps}}-Benutzerauthentifizierung für Formulare aktivieren bzw. deaktivieren |
|
15 |
+Mit diesem Schalter lässt sich die NTLM-Benutzerauthentifizierung für Formulare aktivieren bzw. deaktivieren |
| 18 |
18 |
|
| 19 |
19 |
=== Mit {{fserver/}} synchronisieren === |
| 20 |
20 |
|
| ... |
... |
@@ -22,21
+22,21 @@ |
| 22 |
22 |
|
| 23 |
23 |
=== Domain-Controller Host === |
| 24 |
24 |
|
| 25 |
|
-Host (FQN) des ActiveDirectory Controller für die {{smallcaps}}Ntlm{{/smallcaps}}-Authentifizierung eines Benutzers und die anschließende Ermittlung dessen Daten über {{smallcaps}}Ldap{{/smallcaps}}. |
|
23 |
+Host (FQN) des ActiveDirectory Controller für die NTLM-Authentifizierung eines Benutzers und die anschließende Ermittlung dessen Daten über LDAP. |
| 26 |
26 |
|
| 27 |
|
-{{code language="none"}} |
|
25 |
+{{code}} |
| 28 |
28 |
Beispiel: domain.example.de |
| 29 |
29 |
{{/code}} |
| 30 |
30 |
|
| 31 |
31 |
== NTLM-Authentifizierung == |
| 32 |
32 |
|
| 33 |
|
-Die folgenden Einstellungen sind für die Authentifizierung eines Benutzers mittels {{smallcaps}}Ntlm{{/smallcaps}} notwendig: |
|
31 |
+Die folgenden Einstellungen sind für die Authentifizierung eines Benutzers mittels NTLM notwendig: |
| 34 |
34 |
|
| 35 |
35 |
=== Hostname des Domain-Controller Hosts === |
| 36 |
36 |
|
| 37 |
37 |
Hostname des Active-Directory-Controller. |
| 38 |
38 |
|
| 39 |
|
-{{code language="none"}} |
|
37 |
+{{code}} |
| 40 |
40 |
Beispiel: domain |
| 41 |
41 |
{{/code}} |
| 42 |
42 |
|
| ... |
... |
@@ -44,7
+44,7 @@ |
| 44 |
44 |
|
| 45 |
45 |
Hier können je nach AD verschiedene Schreibweisen des Domainnamen verwendet werden. |
| 46 |
46 |
|
| 47 |
|
-{{code language="none"}} |
|
45 |
+{{code}} |
| 48 |
48 |
Beispiel: example.de oder example0 |
| 49 |
49 |
{{/code}} |
| 50 |
50 |
|
| ... |
... |
@@ -64,7
+64,7 @@ |
| 64 |
64 |
Ein Computer-Account ist am '$'-Zeichen im Domain-Namen erkennbar. z.B. example$@domain.de |
| 65 |
65 |
{{/info}} |
| 66 |
66 |
|
| 67 |
|
-Beschreibung für die Vorgehensweise zur Erzeugung eines Computer-Accounts im //Active Directory Server// (externer Link): [[Creating a Computer Account for NTLM Authentication>>https://techdocs.broadcom.com/content/broadcom/techdocs/us/en/ca-enterprise-software/layer7-api-management/api-gateway/9-3/policy-assertions/assertion-palette/access-control-assertions/require-ntlm-authentication-credentials-assertion/creating-a-computer-account-for-ntlm-authentication.html||rel="__blank" title="Creating a Computer Account for NTLM Authentication"]] |
|
65 |
+Beschreibung für die Vorgehensweise zur Erzeugung eines Computer-Accounts im //Active Directory Server// (externer Link): [[Creating a Computer Account for NTLM Authentication>>url:https://wiki.ca.com/display/GATEWAY83/Creating+a+Computer+Account+for+NTLM+Authentication||rel="__blank" title="Creating a Computer Account for NTLM Authentication"]] |
| 68 |
68 |
|
| 69 |
69 |
=== Computerkontopasswort === |
| 70 |
70 |
|
| ... |
... |
@@ -72,15
+72,15 @@ |
| 72 |
72 |
|
| 73 |
73 |
== LDAP-Benutzersuche == |
| 74 |
74 |
|
| 75 |
|
-Die folgenden Einstellungen sind für eine Nutzersuche nach erfolgter {{smallcaps}}Ntlm{{/smallcaps}}-Authentifizierung notwendig: |
|
73 |
+Die folgenden Einstellungen sind für eine Nutzersuche nach erfolgter NTLM-Authentifizierung notwendig: |
| 76 |
76 |
|
| 77 |
77 |
=== Port === |
| 78 |
78 |
|
| 79 |
|
-Der zu verwende Port für die Verbindung mit dem {{smallcaps}}Ldap{{/smallcaps}}-Server zur Nutzersuche |
|
77 |
+Der zu verwende Port für die Verbindung mit dem LDAP-Server zur Nutzersuche |
| 80 |
80 |
|
| 81 |
81 |
=== SSL-Verbindung === |
| 82 |
82 |
|
| 83 |
|
-Ermöglich das Aktivierung der SSL-verschlüsselten Kommunikation mit dem {{smallcaps}}Ldap{{/smallcaps}}-Server. |
|
81 |
+Ermöglich das Aktivierung der SSL-verschlüsselten Kommunikation mit dem LDAP-Server |
| 84 |
84 |
|
| 85 |
85 |
=== Verweis-Sprünge === |
| 86 |
86 |
|
| ... |
... |
@@ -88,9
+88,9 @@ |
| 88 |
88 |
|
| 89 |
89 |
=== Nutzerkonto (mit Domainangabe) === |
| 90 |
90 |
|
| 91 |
|
-Konto für die Benutzersuche innerhalb des {{smallcaps}}Ldap{{/smallcaps}}-Servers. Dieses Konto muss entsprechende Rechte für eine Nutzersuche besitzen. |
|
89 |
+Konto für die Benutzersuche innerhalb des LDAP-Servers. Dieses Konto muss entsprechende Rechte für eine Nutzersuche besitzen. |
| 92 |
92 |
|
| 93 |
|
-{{code language="none"}} |
|
91 |
+{{code}} |
| 94 |
94 |
Beispiel: ldap@example.de |
| 95 |
95 |
{{/code}} |
| 96 |
96 |
|
| ... |
... |
@@ -100,21
+100,22 @@ |
| 100 |
100 |
|
| 101 |
101 |
=== BaseDN für Suche === |
| 102 |
102 |
|
| 103 |
|
-{{smallcaps}}Ldap{{/smallcaps}} BaseDN unter der die zu authentifizierten Benutzer gesucht werden sollen. |
|
101 |
+LDAP BaseDN unter der die zu authentifizierten Benutzer gesucht werden sollen. |
| 104 |
104 |
|
| 105 |
|
-{{code language="none"}} |
|
103 |
+{{code}} |
| 106 |
106 |
Beispiel: ou="users", dc="example", dc="de" |
| 107 |
107 |
{{/code}} |
| 108 |
108 |
|
|
107 |
+ |
|
108 |
+ |
|
109 |
+ |
| 109 |
109 |
== Einstellungen für Kerberos Authentifizierung == |
| 110 |
110 |
|
| 111 |
|
-{{figure image="single_sign_on_kerberos_de.png" width="600"}} |
| 112 |
|
-Nutzeroberfläche für die Einstellungen zu Kerberos. Nur verfügbar, wenn die Lizens dies erlaubt. |
| 113 |
|
-{{/figure}} |
|
112 |
+{{figure image="kerberos"}}Nutzeroberfläche für die Einstellungen zu Kerberos. Nur verfügbar, wenn die Lizens dies erlaubt.{{/figure}} |
| 114 |
114 |
|
| 115 |
115 |
Kerberos wird für die Authentifizierung von Formularbenutzern verwendet. Ein typischen Einsatzszenario sind Formulare, die "intern" von Mitarbeitern eines Unternehmens aufgerufen werden. In einem nachgeordneten Schritt kann das Formular dann Benutzerdaten des angemeldeten Nutzers aus dem ActiveDirectory bereitstellen. |
| 116 |
116 |
|
| 117 |
|
-Kerberos muss als Lizenz-Option freigeschaltet sein! |
|
116 |
+Kerberos muss als Lizenz-Option freigeschaltet sein! |
| 118 |
118 |
Ist dies der Fall, können folgende Einstellungen bearbeitet werden: |
| 119 |
119 |
|
| 120 |
120 |
=== Kerberos nutzen === |
| ... |
... |
@@ -128,7
+128,7 @@ |
| 128 |
128 |
=== Nutzername === |
| 129 |
129 |
|
| 130 |
130 |
Windows Domain Account, welcher für den Zugriff auf das Key Distribution Center (KDC) benötigt wird, um den nachfolgenden Authentifizierungsprozess einzuleiten. |
| 131 |
|
-In den meisten Fällen ist dies ein User-Account aus dem AD, welcher als Service-Account fungiert und nicht zur Anmeldung an einer Workstation gedacht ist. |
|
130 |
+In den meisten Fällen ist dies ein User-Account aus dem AD, welcher als Service-Account fungiert und nicht zur Anmeldung an einer Workstation gedacht ist. |
| 132 |
132 |
|
| 133 |
133 |
{{info}} |
| 134 |
134 |
Es wird ein Nutzername mit Domainangabe (FQDN) benötigt, wenn in der **krb5.conf** Datei, unter dem Abschnitt //[libdefaults]//, kein **default_realm** definiert ist. |
| ... |
... |
@@ -135,14
+135,9 @@ |
| 135 |
135 |
//Beispiel: user@EXCAMPLE.COM // |
| 136 |
136 |
{{/info}} |
| 137 |
137 |
|
| 138 |
|
-{{info}} |
| 139 |
|
-Diesem Benutzer müssen z.B. im Active Directory die zu verwendeten Domians als ServiePrincipalName beginnend mit der Serviceklasse HTTP registriert werden. Mehr dazu finden Sie [[hier>>https://social.technet.microsoft.com/wiki/contents/articles/717.service-principal-names-spn-setspn-syntax.aspx||target="_blank"]] oder [[hier>>https://docs.microsoft.com/en-us/windows-server/networking/sdn/security/kerberos-with-spn||target="_blank"]]. |
| 140 |
|
-{{/info}} |
| 141 |
|
- |
| 142 |
|
-(% class="wikigeneratedid" %) |
| 143 |
143 |
=== Passwort === |
| 144 |
144 |
|
| 145 |
|
-Passwort des oben genannten Service-Accounts |
|
139 |
+Passwort des o.g. Service-Accounts |
| 146 |
146 |
|
| 147 |
147 |
=== Datei krb5.conf === |
| 148 |
148 |
|
| ... |
... |
@@ -246,8
+246,11 @@ |
| 246 |
246 |
|
| 247 |
247 |
Der Name, welcher in der //login.conf// Datei für die Definition des Servers verwendet wird. |
| 248 |
248 |
|
|
243 |
+ |
|
244 |
+ |
|
245 |
+ |
| 249 |
249 |
{{error}} |
| 250 |
|
-Sollte es bei aktiviertem Kerberos vereinzelt oder dauerhaft zu Fehlern beim Formular-Aufruf kommen (HTTP-Status 400), so überschreitet das Kerberos-Ticket die standardmäßige Größenlimitierung des HTTP-Headers durch den Anwendungsserver (z.B. Tomcat). Eine Lösung bringt die Erhöhung dieser Limitierung welche [[hier>>doc:Formcycle.SystemSettings.TomcatSettings.LimitHTTPHeader]] beschrieben wird. |
|
247 |
+Sollte es bei aktiviertem Kerberos vereinzelt oder dauerhaft zu Fehlern beim Formular-Aufruf kommen (HTTP-Status 400), so überschreitet das Kerberos-Ticket die standardmäßige Größenlimitierung des HTTP-Headers durch den Anwendungsserver (z.B. Tomcat). Eine Lösung bringt die Erhöhung dieser Limitierung welche [[hier>>doc:Main.Beschraenkung der HTTP-Header-Groesse aendern]] beschrieben wird. |
| 251 |
251 |
{{/error}} |
| 252 |
252 |
|
| 253 |
253 |
== LDAP Benutzersuche == |
| ... |
... |
@@ -266,7
+266,7 @@ |
| 266 |
266 |
|
| 267 |
267 |
=== Verweis-Sprünge* === |
| 268 |
268 |
|
| 269 |
|
-Gibt die maximale Anzahl von durchzuführenden Verweis-Sprüngen (Referrels-Hops) auf dem LDAP-Server an. |
|
266 |
+Gibt die maximale Anzahl von durchzuführenden Verweis-Sprüngen (Referrels-Hops) auf dem LDAP-Server an. |
| 270 |
270 |
Ein Wert von 0 deaktiviert ein Folgen von Verweisen. |
| 271 |
271 |
|
| 272 |
272 |
=== Nutzer-Account (mit Domainangabe)* === |
| ... |
... |
@@ -289,22
+289,22 @@ |
| 289 |
289 |
|
| 290 |
290 |
== Ausgelesene LDAP-Nutzerdaten im Designer verarbeiten == |
| 291 |
291 |
|
| 292 |
|
-Die zum authentifizierten Nutzer ermittelten Eigenschaften aus dem LDAP werden im **XFC_METADATA**-Objekt abgelegt und stehen dadurch im Formular zur Verfügung. Am JSON-Objekt **user** befindet sich die Eigenschaft **rawData**, welche die ermittelten Daten als JSON-Struktur beinhaltet. |
|
289 |
+Die zum authentifizierten Nutzer ermittelten Eigenschaften aus dem LDAP werden im **XFC_METADATA**-Objekt abgelegt und stehen dadurch im Formular zur Verfügung. Am JSON-Objekt **currentUser** befindet sich die Eigenschaft **ldap**, welche die ermittelten Daten als JSON-Struktur beinhaltet. |
| 293 |
293 |
|
| 294 |
294 |
{{info}} |
| 295 |
|
-Welche Daten die JSON-Struktur unter der **rawData **Eigenschaft beinhaltet, hängt maßgeblich von den Leserechten des LDAP-Accounts ab, |
|
292 |
+Welche Daten die JSON-Struktur unter der **ldap** Eigenschaft beinhaltet, hängt maßgeblich von den Leserechten des LDAP-Accounts ab, |
| 296 |
296 |
welcher die Nutzersuche im LDAP-System durchführt. |
| 297 |
297 |
{{/info}} |
| 298 |
298 |
|
| 299 |
299 |
Das nachfolgende JS-Codeschnipsel zeigt einen Zugriff auf die LDAP-Eigenschaft //userPrincipalName// mittels JS im Designer: |
| 300 |
300 |
|
| 301 |
|
-{{code language="javascript"}} |
|
298 |
+{{code language="javascript" title=""}} |
| 302 |
302 |
try { |
| 303 |
303 |
// Auslesen der Property und Anzeige in einem Label |
| 304 |
304 |
var elem = $('[name=txt1]'); |
| 305 |
|
- var ldap = XFC_METADATA.user.rawData; |
|
302 |
+ var ldap = XFC_METADATA.currentUser.ldap; |
| 306 |
306 |
if(ldap.hasOwnProperty('userPrincipalName')) { |
| 307 |
|
- elem.html(ldap.userPrincipalName); |
|
304 |
+ elem.append(ldap.userPrincipalName); |
| 308 |
308 |
} |
| 309 |
309 |
} catch (err) {} |
| 310 |
310 |
{{/code}} |