Zusammenfassung

• Seiteneigenschaften (3 geändert, 0 hinzugefügt, 0 gelöscht)

Details

Seiteneigenschaften

Dokument-Autor

...	...	@@ -1,1 +1,1 @@
1		-XWiki.gru
	1	+XWiki.awa

Tags

...	...	@@ -1,1 +1,0 @@
1		-SSO|Single-Sign-On|Single|NTLM|Kerberos

Inhalt

...	...	@@ -1,20 +3,18 @@
1		-Die //Einmalanmeldung// für {{smallcaps}}Ntlm{{/smallcaps}} und Kerberos ist ein kostenpflichtiges {{formcycle/}} Zusatzmodul.
2		-
3	3	{{content/}}
4	4
5	5	{{figure image="single_sign_on_ntlm_de.png" width="600"}}
6		-Nutzeroberfläche für die Einstellungen zu {{smallcaps}}Ntlm{{/smallcaps}}. Sie ist nur verfügbar, wenn die Lizenz dies erlaubt.
	4	+Nutzeroberfläche für die Einstellungen zu NTLM. Nur verfügbar, wenn die Lizens dies erlaubt.
7	7	{{/figure}}
8	8
9		-{{smallcaps}}Ntlm{{/smallcaps}} wird für die Authentifizierung von Formularbenutzern verwendet. Ein typisches Einsatzszenario sind Formulare, die intern von Mitarbeitern eines Unternehmens aufgerufen werden. Über {{smallcaps}}Ntlm{{/smallcaps}} kann das Formular auf die Benutzerdaten des angemeldeten ActiveDirectory zugreifen.
	7	+NTLM wird für die Authentifizierung von Formularbenutzern verwendet. Ein typisches Einsatzszenario sind Formulare, die intern von Mitarbeitern eines Unternehmens aufgerufen werden. Über NTLM kann das Formular auf die Benutzerdaten des angemeldeten ActiveDirectory zugreifen.
10	10
11	11	{{info}}
12		-{{smallcaps}}Ntlm{{/smallcaps}} ist nur verfügbar, wenn die Lizenz dies erlaubt.
	10	+NTLM ist nur verfügbar, wenn die Lizenz dies erlaubt.
13	13	{{/info}}
14	14
15	15	== NTLM nutzen ==
16	16
17		-Mit diesem Schalter lässt sich die {{smallcaps}}Ntlm{{/smallcaps}}-Benutzerauthentifizierung für Formulare aktivieren bzw. deaktivieren
	15	+Mit diesem Schalter lässt sich die NTLM-Benutzerauthentifizierung für Formulare aktivieren bzw. deaktivieren
18	18
19	19	=== Mit {{fserver/}} synchronisieren ===
20	20
...	...	@@ -22,21 +22,21 @@
22	22
23	23	=== Domain-Controller Host ===
24	24
25		-Host (FQN) des ActiveDirectory Controller für die {{smallcaps}}Ntlm{{/smallcaps}}-Authentifizierung eines Benutzers und die anschließende Ermittlung dessen Daten über {{smallcaps}}Ldap{{/smallcaps}}.
	23	+Host (FQN) des ActiveDirectory Controller für die NTLM-Authentifizierung eines Benutzers und die anschließende Ermittlung dessen Daten über LDAP.
26	26
27		-{{code language="none"}}
	25	+{{code}}
28	28	Beispiel: domain.example.de
29	29	{{/code}}
30	30
31	31	== NTLM-Authentifizierung ==
32	32
33		-Die folgenden Einstellungen sind für die Authentifizierung eines Benutzers mittels {{smallcaps}}Ntlm{{/smallcaps}} notwendig:
	31	+Die folgenden Einstellungen sind für die Authentifizierung eines Benutzers mittels NTLM notwendig:
34	34
35	35	=== Hostname des Domain-Controller Hosts ===
36	36
37	37	Hostname des Active-Directory-Controller.
38	38
39		-{{code language="none"}}
	37	+{{code}}
40	40	Beispiel: domain
41	41	{{/code}}
42	42
...	...	@@ -44,7 +44,7 @@
44	44
45	45	Hier können je nach AD verschiedene Schreibweisen des Domainnamen verwendet werden.
46	46
47		-{{code language="none"}}
	45	+{{code}}
48	48	Beispiel: example.de oder example0
49	49	{{/code}}
50	50
...	...	@@ -64,7 +64,7 @@
64	64	Ein Computer-Account ist am '$'-Zeichen im Domain-Namen erkennbar. z.B. example$@domain.de
65	65	{{/info}}
66	66
67		-Beschreibung für die Vorgehensweise zur Erzeugung eines Computer-Accounts im //Active Directory Server// (externer Link): [[Creating a Computer Account for NTLM Authentication>>https://techdocs.broadcom.com/content/broadcom/techdocs/us/en/ca-enterprise-software/layer7-api-management/api-gateway/9-3/policy-assertions/assertion-palette/access-control-assertions/require-ntlm-authentication-credentials-assertion/creating-a-computer-account-for-ntlm-authentication.html||rel="__blank" title="Creating a Computer Account for NTLM Authentication"]]
	65	+Beschreibung für die Vorgehensweise zur Erzeugung eines Computer-Accounts im //Active Directory Server// (externer Link): [[Creating a Computer Account for NTLM Authentication>>url:https://wiki.ca.com/display/GATEWAY83/Creating+a+Computer+Account+for+NTLM+Authentication||rel="__blank" title="Creating a Computer Account for NTLM Authentication"]]
68	68
69	69	=== Computerkontopasswort ===
70	70
...	...	@@ -72,15 +72,15 @@
72	72
73	73	== LDAP-Benutzersuche ==
74	74
75		-Die folgenden Einstellungen sind für eine Nutzersuche nach erfolgter {{smallcaps}}Ntlm{{/smallcaps}}-Authentifizierung notwendig:
	73	+Die folgenden Einstellungen sind für eine Nutzersuche nach erfolgter NTLM-Authentifizierung notwendig:
76	76
77	77	=== Port ===
78	78
79		-Der zu verwende Port für die Verbindung mit dem {{smallcaps}}Ldap{{/smallcaps}}-Server zur Nutzersuche
	77	+Der zu verwende Port für die Verbindung mit dem LDAP-Server zur Nutzersuche
80	80
81	81	=== SSL-Verbindung ===
82	82
83		-Ermöglich das Aktivierung der SSL-verschlüsselten Kommunikation mit dem {{smallcaps}}Ldap{{/smallcaps}}-Server.
	81	+Ermöglich das Aktivierung der SSL-verschlüsselten Kommunikation mit dem LDAP-Server
84	84
85	85	=== Verweis-Sprünge ===
86	86
...	...	@@ -88,9 +88,9 @@
88	88
89	89	=== Nutzerkonto (mit Domainangabe) ===
90	90
91		-Konto für die Benutzersuche innerhalb des {{smallcaps}}Ldap{{/smallcaps}}-Servers. Dieses Konto muss entsprechende Rechte für eine Nutzersuche besitzen.
	89	+Konto für die Benutzersuche innerhalb des LDAP-Servers. Dieses Konto muss entsprechende Rechte für eine Nutzersuche besitzen.
92	92
93		-{{code language="none"}}
	91	+{{code}}
94	94	Beispiel: ldap@example.de
95	95	{{/code}}
96	96
...	...	@@ -100,12 +100,15 @@
100	100
101	101	=== BaseDN für Suche ===
102	102
103		-{{smallcaps}}Ldap{{/smallcaps}} BaseDN unter der die zu authentifizierten Benutzer gesucht werden sollen.
	101	+LDAP BaseDN unter der die zu authentifizierten Benutzer gesucht werden sollen.
104	104
105		-{{code language="none"}}
	103	+{{code}}
106	106	Beispiel: ou="users", dc="example", dc="de"
107	107	{{/code}}
108	108
	107	+
	108	+
	109	+
109	109	== Einstellungen für Kerberos Authentifizierung ==
110	110
111	111	{{figure image="single_sign_on_kerberos_de.png" width="600"}}
...	...	@@ -128,7 +128,7 @@
128	128	=== Nutzername ===
129	129
130	130	Windows Domain Account, welcher für den Zugriff auf das Key Distribution Center (KDC) benötigt wird, um den nachfolgenden Authentifizierungsprozess einzuleiten.
131		-In den meisten Fällen ist dies ein User-Account aus dem AD, welcher als Service-Account fungiert und nicht zur Anmeldung an einer Workstation gedacht ist.
	132	+In den meisten Fällen ist dies ein User-Account aus dem AD, welcher als Service-Account fungiert und nicht zur Anmeldung an einer Workstation gedacht ist.
132	132
133	133	{{info}}
134	134	Es wird ein Nutzername mit Domainangabe (FQDN) benötigt, wenn in der **krb5.conf** Datei, unter dem Abschnitt //[libdefaults]//, kein **default_realm** definiert ist.
...	...	@@ -135,11 +135,6 @@
135	135	//Beispiel: user@EXCAMPLE.COM //
136	136	{{/info}}
137	137
138		-{{info}}
139		-Diesem Benutzer müssen z.B. im Active Directory die zu verwendeten Domians als ServiePrincipalName beginnend mit der Serviceklasse HTTP registriert werden. Mehr dazu finden Sie [[hier>>https://social.technet.microsoft.com/wiki/contents/articles/717.service-principal-names-spn-setspn-syntax.aspx||target="_blank"]] oder [[hier>>https://docs.microsoft.com/en-us/windows-server/networking/sdn/security/kerberos-with-spn||target="_blank"]].
140		-{{/info}}
141		-
142		-(% class="wikigeneratedid" %)
143	143	=== Passwort ===
144	144
145	145	Passwort des oben genannten Service-Accounts
...	...	@@ -247,6 +247,7 @@
247	247	Der Name, welcher in der //login.conf// Datei für die Definition des Servers verwendet wird.
248	248
249	249	{{error}}
	246	+
250	250	Sollte es bei aktiviertem Kerberos vereinzelt oder dauerhaft zu Fehlern beim Formular-Aufruf kommen (HTTP-Status 400), so überschreitet das Kerberos-Ticket die standardmäßige Größenlimitierung des HTTP-Headers durch den Anwendungsserver (z.B. Tomcat). Eine Lösung bringt die Erhöhung dieser Limitierung welche [[hier>>doc:Formcycle.SystemSettings.TomcatSettings.LimitHTTPHeader]] beschrieben wird.
251	251	{{/error}}
252	252
...	...	@@ -289,22 +289,22 @@
289	289
290	290	== Ausgelesene LDAP-Nutzerdaten im Designer verarbeiten ==
291	291
292		-Die zum authentifizierten Nutzer ermittelten Eigenschaften aus dem LDAP werden im **XFC_METADATA**-Objekt abgelegt und stehen dadurch im Formular zur Verfügung. Am JSON-Objekt **user** befindet sich die Eigenschaft **rawData**, welche die ermittelten Daten als JSON-Struktur beinhaltet.
	289	+Die zum authentifizierten Nutzer ermittelten Eigenschaften aus dem LDAP werden im **XFC_METADATA**-Objekt abgelegt und stehen dadurch im Formular zur Verfügung. Am JSON-Objekt **currentUser** befindet sich die Eigenschaft **ldap**, welche die ermittelten Daten als JSON-Struktur beinhaltet.
293	293
294	294	{{info}}
295		-Welche Daten die JSON-Struktur unter der **rawData **Eigenschaft beinhaltet, hängt maßgeblich von den Leserechten des LDAP-Accounts ab,
	292	+Welche Daten die JSON-Struktur unter der **ldap** Eigenschaft beinhaltet, hängt maßgeblich von den Leserechten des LDAP-Accounts ab,
296	296	welcher die Nutzersuche im LDAP-System durchführt.
297	297	{{/info}}
298	298
299	299	Das nachfolgende JS-Codeschnipsel zeigt einen Zugriff auf die LDAP-Eigenschaft //userPrincipalName// mittels JS im Designer:
300	300
301		-{{code language="javascript"}}
	298	+{{code language="javascript" title=""}}
302	302	try {
303	303	// Auslesen der Property und Anzeige in einem Label
304	304	var elem = $('[name=txt1]');
305		- var ldap = XFC_METADATA.user.rawData;
	302	+ var ldap = XFC_METADATA.currentUser.ldap;
306	306	if(ldap.hasOwnProperty('userPrincipalName')) {
307		- elem.html(ldap.userPrincipalName);
	304	+ elem.append(ldap.userPrincipalName);
308	308	}
309	309	} catch (err) {}
310	310	{{/code}}