Von Version < 11.4 >
bearbeitet von gru
am 10.03.2021, 10:15
Auf Version < 2.1 >
bearbeitet von awa
am 08.04.2019, 13:35
< >
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Titel
... ... @@ -1,1 +1,1 @@
1 -Einmalanmeldung
1 +RTH_DE_EN_Einmalanmeldung
Dokument-Autor
... ... @@ -1,1 +1,1 @@
1 -XWiki.gru
1 +XWiki.awa
Tags
... ... @@ -1,1 +1,0 @@
1 -SSO|Single-Sign-On|Single|NTLM|Kerberos
Inhalt
... ... @@ -1,20 +1,18 @@
1 -Die //Einmalanmeldung// für {{smallcaps}}Ntlm{{/smallcaps}} und Kerberos ist ein kostenpflichtiges {{formcycle/}} Zusatzmodul.
1 +Da Kerberos und NTLM jetzt im Einmalanmeldemezusammen sind, muss diese Seite in deutsch und englisch neu erstellt werden. Der Inhalt der beiden alten Seiten befindet sich erstmal noch hier:
2 2  
3 3  {{content/}}
4 4  
5 -{{figure image="single_sign_on_ntlm_de.png" width="600"}}
6 -Nutzeroberfläche für die Einstellungen zu {{smallcaps}}Ntlm{{/smallcaps}}. Sie ist nur verfügbar, wenn die Lizenz dies erlaubt.
7 -{{/figure}}
5 +{{figure image="ntlm" width="300"/}}
8 8  
9 -{{smallcaps}}Ntlm{{/smallcaps}} wird für die Authentifizierung von Formularbenutzern verwendet. Ein typisches Einsatzszenario sind Formulare, die intern von Mitarbeitern eines Unternehmens aufgerufen werden. Über {{smallcaps}}Ntlm{{/smallcaps}} kann das Formular auf die Benutzerdaten des angemeldeten ActiveDirectory zugreifen.
7 +NTLM wird für die Authentifizierung von Formularbenutzern verwendet. Ein typisches Einsatzszenario sind Formulare, die intern von Mitarbeitern eines Unternehmens aufgerufen werden. Über NTLM kann das Formular auf die Benutzerdaten des angemeldeten ActiveDirectory zugreifen.
10 10  
11 11  {{info}}
12 -{{smallcaps}}Ntlm{{/smallcaps}} ist nur verfügbar, wenn die Lizenz dies erlaubt.
10 +NTLM ist nur verfügbar, wenn die Lizenz dies erlaubt.
13 13  {{/info}}
14 14  
15 15  == NTLM nutzen ==
16 16  
17 -Mit diesem Schalter lässt sich die {{smallcaps}}Ntlm{{/smallcaps}}-Benutzerauthentifizierung für Formulare aktivieren bzw. deaktivieren
15 +Mit diesem Schalter lässt sich die NTLM-Benutzerauthentifizierung für Formulare aktivieren bzw. deaktivieren
18 18  
19 19  === Mit {{fserver/}} synchronisieren ===
20 20  
... ... @@ -22,21 +22,21 @@
22 22  
23 23  === Domain-Controller Host ===
24 24  
25 -Host (FQN) des ActiveDirectory Controller für die {{smallcaps}}Ntlm{{/smallcaps}}-Authentifizierung eines Benutzers und die anschließende Ermittlung dessen Daten über {{smallcaps}}Ldap{{/smallcaps}}.
23 +Host (FQN) des ActiveDirectory Controller für die NTLM-Authentifizierung eines Benutzers und die anschließende Ermittlung dessen Daten über LDAP.
26 26  
27 -{{code language="none"}}
25 +{{code}}
28 28  Beispiel: domain.example.de
29 29  {{/code}}
30 30  
31 31  == NTLM-Authentifizierung ==
32 32  
33 -Die folgenden Einstellungen sind für die Authentifizierung eines Benutzers mittels {{smallcaps}}Ntlm{{/smallcaps}} notwendig:
31 +Die folgenden Einstellungen sind für die Authentifizierung eines Benutzers mittels NTLM notwendig:
34 34  
35 35  === Hostname des Domain-Controller Hosts ===
36 36  
37 37  Hostname des Active-Directory-Controller.
38 38  
39 -{{code language="none"}}
37 +{{code}}
40 40  Beispiel: domain
41 41  {{/code}}
42 42  
... ... @@ -44,7 +44,7 @@
44 44  
45 45  Hier können je nach AD verschiedene Schreibweisen des Domainnamen verwendet werden.
46 46  
47 -{{code language="none"}}
45 +{{code}}
48 48  Beispiel: example.de oder example0
49 49  {{/code}}
50 50  
... ... @@ -64,7 +64,7 @@
64 64  Ein Computer-Account ist am '$'-Zeichen im Domain-Namen erkennbar. z.B. example$@domain.de
65 65  {{/info}}
66 66  
67 -Beschreibung für die Vorgehensweise zur Erzeugung eines Computer-Accounts im //Active Directory Server// (externer Link): [[Creating a Computer Account for NTLM Authentication>>https://techdocs.broadcom.com/content/broadcom/techdocs/us/en/ca-enterprise-software/layer7-api-management/api-gateway/9-3/policy-assertions/assertion-palette/access-control-assertions/require-ntlm-authentication-credentials-assertion/creating-a-computer-account-for-ntlm-authentication.html||rel="__blank" title="Creating a Computer Account for NTLM Authentication"]]
65 +Beschreibung für die Vorgehensweise zur Erzeugung eines Computer-Accounts im //Active Directory Server// (externer Link): [[Creating a Computer Account for NTLM Authentication>>url:https://wiki.ca.com/display/GATEWAY83/Creating+a+Computer+Account+for+NTLM+Authentication||rel="__blank" title="Creating a Computer Account for NTLM Authentication"]]
68 68  
69 69  === Computerkontopasswort ===
70 70  
... ... @@ -72,15 +72,15 @@
72 72  
73 73  == LDAP-Benutzersuche ==
74 74  
75 -Die folgenden Einstellungen sind für eine Nutzersuche nach erfolgter {{smallcaps}}Ntlm{{/smallcaps}}-Authentifizierung notwendig:
73 +Die folgenden Einstellungen sind für eine Nutzersuche nach erfolgter NTLM-Authentifizierung notwendig:
76 76  
77 77  === Port ===
78 78  
79 -Der zu verwende Port für die Verbindung mit dem {{smallcaps}}Ldap{{/smallcaps}}-Server zur Nutzersuche
77 +Der zu verwende Port für die Verbindung mit dem LDAP-Server zur Nutzersuche
80 80  
81 81  === SSL-Verbindung ===
82 82  
83 -Ermöglich das Aktivierung der SSL-verschlüsselten Kommunikation mit dem {{smallcaps}}Ldap{{/smallcaps}}-Server.
81 +Ermöglich das Aktivierung der SSL-verschlüsselten Kommunikation mit dem LDAP-Server
84 84  
85 85  === Verweis-Sprünge ===
86 86  
... ... @@ -88,9 +88,9 @@
88 88  
89 89  === Nutzerkonto (mit Domainangabe) ===
90 90  
91 -Konto für die Benutzersuche innerhalb des {{smallcaps}}Ldap{{/smallcaps}}-Servers. Dieses Konto muss entsprechende Rechte für eine Nutzersuche besitzen.
89 +Konto für die Benutzersuche innerhalb des LDAP-Servers. Dieses Konto muss entsprechende Rechte für eine Nutzersuche besitzen.
92 92  
93 -{{code language="none"}}
91 +{{code}}
94 94  Beispiel: ldap@example.de
95 95  {{/code}}
96 96  
... ... @@ -100,15 +100,18 @@
100 100  
101 101  === BaseDN für Suche ===
102 102  
103 -{{smallcaps}}Ldap{{/smallcaps}} BaseDN unter der die zu authentifizierten Benutzer gesucht werden sollen.
101 +LDAP BaseDN unter der die zu authentifizierten Benutzer gesucht werden sollen.
104 104  
105 -{{code language="none"}}
103 +{{code}}
106 106  Beispiel: ou="users", dc="example", dc="de"
107 107  {{/code}}
108 108  
107 +
108 +
109 +
109 109  == Einstellungen für Kerberos Authentifizierung ==
110 110  
111 -{{figure image="single_sign_on_kerberos_de.png" width="600"}}
112 +{{figure image="kerberos"}}
112 112  Nutzeroberfläche für die Einstellungen zu Kerberos. Nur verfügbar, wenn die Lizens dies erlaubt.
113 113  {{/figure}}
114 114  
... ... @@ -128,7 +128,7 @@
128 128  === Nutzername ===
129 129  
130 130  Windows Domain Account, welcher für den Zugriff auf das Key Distribution Center (KDC) benötigt wird, um den nachfolgenden Authentifizierungsprozess einzuleiten.
131 -In den meisten Fällen ist dies ein User-Account aus dem AD, welcher als Service-Account fungiert und nicht zur Anmeldung an einer Workstation gedacht ist.
132 +In den meisten Fällen ist dies ein User-Account aus dem AD, welcher als Service-Account fungiert und nicht zur Anmeldung an einer Workstation gedacht ist. 
132 132  
133 133  {{info}}
134 134  Es wird ein Nutzername mit Domainangabe (FQDN) benötigt, wenn in der **krb5.conf** Datei, unter dem Abschnitt //[libdefaults]//, kein **default_realm** definiert ist.
... ... @@ -135,14 +135,9 @@
135 135  //Beispiel: user@EXCAMPLE.COM //
136 136  {{/info}}
137 137  
138 -{{info}}
139 -Diesem Benutzer müssen z.B. im Active Directory die zu verwendeten Domians als ServiePrincipalName beginnend mit der Serviceklasse HTTP registriert werden. Mehr dazu finden Sie [[hier>>https://social.technet.microsoft.com/wiki/contents/articles/717.service-principal-names-spn-setspn-syntax.aspx||target="_blank"]] oder [[hier>>https://docs.microsoft.com/en-us/windows-server/networking/sdn/security/kerberos-with-spn||target="_blank"]].
140 -{{/info}}
141 -
142 -(% class="wikigeneratedid" %)
143 143  === Passwort ===
144 144  
145 -Passwort des oben genannten Service-Accounts
141 +Passwort des o.g. Service-Accounts
146 146  
147 147  === Datei krb5.conf ===
148 148  
... ... @@ -247,7 +247,10 @@
247 247  Der Name, welcher in der //login.conf// Datei für die Definition des Servers verwendet wird.
248 248  
249 249  {{error}}
250 -Sollte es bei aktiviertem Kerberos vereinzelt oder dauerhaft zu Fehlern beim Formular-Aufruf kommen (HTTP-Status 400), so überschreitet das Kerberos-Ticket die standardmäßige Größenlimitierung des HTTP-Headers durch den Anwendungsserver (z.B. Tomcat). Eine Lösung bringt die Erhöhung dieser Limitierung welche [[hier>>doc:Formcycle.SystemSettings.TomcatSettings.LimitHTTPHeader]] beschrieben wird.
246 +
247 +
248 +
249 +Sollte es bei aktiviertem Kerberos vereinzelt oder dauerhaft zu Fehlern beim Formular-Aufruf kommen (HTTP-Status 400), so überschreitet das Kerberos-Ticket die standardmäßige Größenlimitierung des HTTP-Headers durch den Anwendungsserver (z.B. Tomcat). Eine Lösung bringt die Erhöhung dieser Limitierung welche [[hier>>doc:Main.Beschraenkung der HTTP-Header-Groesse aendern]] beschrieben wird.
251 251  {{/error}}
252 252  
253 253  == LDAP Benutzersuche ==
... ... @@ -289,22 +289,22 @@
289 289  
290 290  == Ausgelesene LDAP-Nutzerdaten im Designer verarbeiten ==
291 291  
292 -Die zum authentifizierten Nutzer ermittelten Eigenschaften aus dem LDAP werden im **XFC_METADATA**-Objekt abgelegt und stehen dadurch im Formular zur Verfügung. Am JSON-Objekt **user** befindet sich die Eigenschaft **rawData**, welche die ermittelten Daten als JSON-Struktur beinhaltet.
291 +Die zum authentifizierten Nutzer ermittelten Eigenschaften aus dem LDAP werden im **XFC_METADATA**-Objekt abgelegt und stehen dadurch im Formular zur Verfügung. Am JSON-Objekt **currentUser** befindet sich die Eigenschaft **ldap**, welche die ermittelten Daten als JSON-Struktur beinhaltet.
293 293  
294 294  {{info}}
295 -Welche Daten die JSON-Struktur unter der **rawData **Eigenschaft beinhaltet, hängt maßgeblich von den Leserechten des LDAP-Accounts ab,
294 +Welche Daten die JSON-Struktur unter der **ldap** Eigenschaft beinhaltet, hängt maßgeblich von den Leserechten des LDAP-Accounts ab,
296 296  welcher die Nutzersuche im LDAP-System durchführt.
297 297  {{/info}}
298 298  
299 299  Das nachfolgende JS-Codeschnipsel zeigt einen Zugriff auf die LDAP-Eigenschaft //userPrincipalName// mittels JS im Designer:
300 300  
301 -{{code language="javascript"}}
300 +{{code language="javascript" title=""}}
302 302  try {
303 303   // Auslesen der Property und Anzeige in einem Label
304 304   var elem = $('[name=txt1]');
305 - var ldap = XFC_METADATA.user.rawData;
304 + var ldap = XFC_METADATA.currentUser.ldap;
306 306   if(ldap.hasOwnProperty('userPrincipalName')) {
307 - elem.html(ldap.userPrincipalName);
306 + elem.append(ldap.userPrincipalName);
308 308   }
309 309  } catch (err) {}
310 310  {{/code}}
single_sign_on_kerberos_de.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.awa
Größe
... ... @@ -1,1 +1,0 @@
1 -57.6 KB
Inhalt
single_sign_on_kerberos_en.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.awa
Größe
... ... @@ -1,1 +1,0 @@
1 -53.1 KB
Inhalt
single_sign_on_ntlm_de.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.awa
Größe
... ... @@ -1,1 +1,0 @@
1 -54.5 KB
Inhalt
single_sign_on_ntlm_en.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.awa
Größe
... ... @@ -1,1 +1,0 @@
1 -50.7 KB
Inhalt
FCSnapshot27.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.gru
Größe
... ... @@ -1,0 +1,1 @@
1 +59.5 KB
Inhalt
ntlm.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.gru
Größe
... ... @@ -1,0 +1,1 @@
1 +70.1 KB
Inhalt
Copyright 2000-2024