... |
... |
@@ -1,9
+3,7 @@ |
1 |
|
-Die //Einmalanmeldung// für {{smallcaps}}Ntlm{{/smallcaps}} und Kerberos ist ein kostenpflichtiges {{formcycle/}} Zusatzmodul. |
2 |
|
- |
3 |
3 |
{{content/}} |
4 |
4 |
|
5 |
5 |
{{figure image="single_sign_on_ntlm_de.png" width="600"}} |
6 |
|
-Nutzeroberfläche für die Einstellungen zu {{smallcaps}}Ntlm{{/smallcaps}}. Sie ist nur verfügbar, wenn die Lizenz dies erlaubt. |
|
4 |
+Nutzeroberfläche für die Einstellungen zu {{smallcaps}}Ntlm{{/smallcaps}}. Nur verfügbar, wenn die Lizens dies erlaubt. |
7 |
7 |
{{/figure}} |
8 |
8 |
|
9 |
9 |
{{smallcaps}}Ntlm{{/smallcaps}} wird für die Authentifizierung von Formularbenutzern verwendet. Ein typisches Einsatzszenario sind Formulare, die intern von Mitarbeitern eines Unternehmens aufgerufen werden. Über {{smallcaps}}Ntlm{{/smallcaps}} kann das Formular auf die Benutzerdaten des angemeldeten ActiveDirectory zugreifen. |
... |
... |
@@ -22,9
+22,9 @@ |
22 |
22 |
|
23 |
23 |
=== Domain-Controller Host === |
24 |
24 |
|
25 |
|
-Host (FQN) des ActiveDirectory Controller für die {{smallcaps}}Ntlm{{/smallcaps}}-Authentifizierung eines Benutzers und die anschließende Ermittlung dessen Daten über {{smallcaps}}Ldap{{/smallcaps}}. |
|
23 |
+Host (FQN) des ActiveDirectory Controller für die {{smallcaps}}Ntlm{{/smallcaps}}-Authentifizierung eines Benutzers und die anschließende Ermittlung dessen Daten über LDAP. |
26 |
26 |
|
27 |
|
-{{code language="none"}} |
|
25 |
+{{code}} |
28 |
28 |
Beispiel: domain.example.de |
29 |
29 |
{{/code}} |
30 |
30 |
|
... |
... |
@@ -36,7
+36,7 @@ |
36 |
36 |
|
37 |
37 |
Hostname des Active-Directory-Controller. |
38 |
38 |
|
39 |
|
-{{code language="none"}} |
|
37 |
+{{code}} |
40 |
40 |
Beispiel: domain |
41 |
41 |
{{/code}} |
42 |
42 |
|
... |
... |
@@ -44,7
+44,7 @@ |
44 |
44 |
|
45 |
45 |
Hier können je nach AD verschiedene Schreibweisen des Domainnamen verwendet werden. |
46 |
46 |
|
47 |
|
-{{code language="none"}} |
|
45 |
+{{code}} |
48 |
48 |
Beispiel: example.de oder example0 |
49 |
49 |
{{/code}} |
50 |
50 |
|
... |
... |
@@ -64,7
+64,7 @@ |
64 |
64 |
Ein Computer-Account ist am '$'-Zeichen im Domain-Namen erkennbar. z.B. example$@domain.de |
65 |
65 |
{{/info}} |
66 |
66 |
|
67 |
|
-Beschreibung für die Vorgehensweise zur Erzeugung eines Computer-Accounts im //Active Directory Server// (externer Link): [[Creating a Computer Account for NTLM Authentication>>https://techdocs.broadcom.com/content/broadcom/techdocs/us/en/ca-enterprise-software/layer7-api-management/api-gateway/9-3/policy-assertions/assertion-palette/access-control-assertions/require-ntlm-authentication-credentials-assertion/creating-a-computer-account-for-ntlm-authentication.html||rel="__blank" title="Creating a Computer Account for NTLM Authentication"]] |
|
65 |
+Beschreibung für die Vorgehensweise zur Erzeugung eines Computer-Accounts im //Active Directory Server// (externer Link): [[Creating a Computer Account for NTLM Authentication>>url:https://wiki.ca.com/display/GATEWAY83/Creating+a+Computer+Account+for+NTLM+Authentication||rel="__blank" title="Creating a Computer Account for NTLM Authentication"]] |
68 |
68 |
|
69 |
69 |
=== Computerkontopasswort === |
70 |
70 |
|
... |
... |
@@ -76,11
+76,11 @@ |
76 |
76 |
|
77 |
77 |
=== Port === |
78 |
78 |
|
79 |
|
-Der zu verwende Port für die Verbindung mit dem {{smallcaps}}Ldap{{/smallcaps}}-Server zur Nutzersuche |
|
77 |
+Der zu verwende Port für die Verbindung mit dem LDAP-Server zur Nutzersuche |
80 |
80 |
|
81 |
81 |
=== SSL-Verbindung === |
82 |
82 |
|
83 |
|
-Ermöglich das Aktivierung der SSL-verschlüsselten Kommunikation mit dem {{smallcaps}}Ldap{{/smallcaps}}-Server. |
|
81 |
+Ermöglich das Aktivierung der SSL-verschlüsselten Kommunikation mit dem LDAP-Server |
84 |
84 |
|
85 |
85 |
=== Verweis-Sprünge === |
86 |
86 |
|
... |
... |
@@ -88,9
+88,9 @@ |
88 |
88 |
|
89 |
89 |
=== Nutzerkonto (mit Domainangabe) === |
90 |
90 |
|
91 |
|
-Konto für die Benutzersuche innerhalb des {{smallcaps}}Ldap{{/smallcaps}}-Servers. Dieses Konto muss entsprechende Rechte für eine Nutzersuche besitzen. |
|
89 |
+Konto für die Benutzersuche innerhalb des LDAP-Servers. Dieses Konto muss entsprechende Rechte für eine Nutzersuche besitzen. |
92 |
92 |
|
93 |
|
-{{code language="none"}} |
|
91 |
+{{code}} |
94 |
94 |
Beispiel: ldap@example.de |
95 |
95 |
{{/code}} |
96 |
96 |
|
... |
... |
@@ -100,9
+100,9 @@ |
100 |
100 |
|
101 |
101 |
=== BaseDN für Suche === |
102 |
102 |
|
103 |
|
-{{smallcaps}}Ldap{{/smallcaps}} BaseDN unter der die zu authentifizierten Benutzer gesucht werden sollen. |
|
101 |
+LDAP BaseDN unter der die zu authentifizierten Benutzer gesucht werden sollen. |
104 |
104 |
|
105 |
|
-{{code language="none"}} |
|
103 |
+{{code}} |
106 |
106 |
Beispiel: ou="users", dc="example", dc="de" |
107 |
107 |
{{/code}} |
108 |
108 |
|
... |
... |
@@ -128,7
+128,7 @@ |
128 |
128 |
=== Nutzername === |
129 |
129 |
|
130 |
130 |
Windows Domain Account, welcher für den Zugriff auf das Key Distribution Center (KDC) benötigt wird, um den nachfolgenden Authentifizierungsprozess einzuleiten. |
131 |
|
-In den meisten Fällen ist dies ein User-Account aus dem AD, welcher als Service-Account fungiert und nicht zur Anmeldung an einer Workstation gedacht ist. |
|
129 |
+In den meisten Fällen ist dies ein User-Account aus dem AD, welcher als Service-Account fungiert und nicht zur Anmeldung an einer Workstation gedacht ist. |
132 |
132 |
|
133 |
133 |
{{info}} |
134 |
134 |
Es wird ein Nutzername mit Domainangabe (FQDN) benötigt, wenn in der **krb5.conf** Datei, unter dem Abschnitt //[libdefaults]//, kein **default_realm** definiert ist. |
... |
... |
@@ -135,11
+135,6 @@ |
135 |
135 |
//Beispiel: user@EXCAMPLE.COM // |
136 |
136 |
{{/info}} |
137 |
137 |
|
138 |
|
-{{info}} |
139 |
|
-Diesem Benutzer müssen z.B. im Active Directory die zu verwendeten Domians als ServiePrincipalName beginnend mit der Serviceklasse HTTP registriert werden. Mehr dazu finden Sie [[hier>>https://social.technet.microsoft.com/wiki/contents/articles/717.service-principal-names-spn-setspn-syntax.aspx||target="_blank"]] oder [[hier>>https://docs.microsoft.com/en-us/windows-server/networking/sdn/security/kerberos-with-spn||target="_blank"]]. |
140 |
|
-{{/info}} |
141 |
|
- |
142 |
|
-(% class="wikigeneratedid" %) |
143 |
143 |
=== Passwort === |
144 |
144 |
|
145 |
145 |
Passwort des oben genannten Service-Accounts |
... |
... |
@@ -247,6
+247,7 @@ |
247 |
247 |
Der Name, welcher in der //login.conf// Datei für die Definition des Servers verwendet wird. |
248 |
248 |
|
249 |
249 |
{{error}} |
|
243 |
+ |
250 |
250 |
Sollte es bei aktiviertem Kerberos vereinzelt oder dauerhaft zu Fehlern beim Formular-Aufruf kommen (HTTP-Status 400), so überschreitet das Kerberos-Ticket die standardmäßige Größenlimitierung des HTTP-Headers durch den Anwendungsserver (z.B. Tomcat). Eine Lösung bringt die Erhöhung dieser Limitierung welche [[hier>>doc:Formcycle.SystemSettings.TomcatSettings.LimitHTTPHeader]] beschrieben wird. |
251 |
251 |
{{/error}} |
252 |
252 |
|
... |
... |
@@ -289,22
+289,22 @@ |
289 |
289 |
|
290 |
290 |
== Ausgelesene LDAP-Nutzerdaten im Designer verarbeiten == |
291 |
291 |
|
292 |
|
-Die zum authentifizierten Nutzer ermittelten Eigenschaften aus dem LDAP werden im **XFC_METADATA**-Objekt abgelegt und stehen dadurch im Formular zur Verfügung. Am JSON-Objekt **user** befindet sich die Eigenschaft **rawData**, welche die ermittelten Daten als JSON-Struktur beinhaltet. |
|
286 |
+Die zum authentifizierten Nutzer ermittelten Eigenschaften aus dem LDAP werden im **XFC_METADATA**-Objekt abgelegt und stehen dadurch im Formular zur Verfügung. Am JSON-Objekt **currentUser** befindet sich die Eigenschaft **ldap**, welche die ermittelten Daten als JSON-Struktur beinhaltet. |
293 |
293 |
|
294 |
294 |
{{info}} |
295 |
|
-Welche Daten die JSON-Struktur unter der **rawData **Eigenschaft beinhaltet, hängt maßgeblich von den Leserechten des LDAP-Accounts ab, |
|
289 |
+Welche Daten die JSON-Struktur unter der **ldap** Eigenschaft beinhaltet, hängt maßgeblich von den Leserechten des LDAP-Accounts ab, |
296 |
296 |
welcher die Nutzersuche im LDAP-System durchführt. |
297 |
297 |
{{/info}} |
298 |
298 |
|
299 |
299 |
Das nachfolgende JS-Codeschnipsel zeigt einen Zugriff auf die LDAP-Eigenschaft //userPrincipalName// mittels JS im Designer: |
300 |
300 |
|
301 |
|
-{{code language="javascript"}} |
|
295 |
+{{code language="javascript" title=""}} |
302 |
302 |
try { |
303 |
303 |
// Auslesen der Property und Anzeige in einem Label |
304 |
304 |
var elem = $('[name=txt1]'); |
305 |
|
- var ldap = XFC_METADATA.user.rawData; |
|
299 |
+ var ldap = XFC_METADATA.currentUser.ldap; |
306 |
306 |
if(ldap.hasOwnProperty('userPrincipalName')) { |
307 |
|
- elem.html(ldap.userPrincipalName); |
|
301 |
+ elem.append(ldap.userPrincipalName); |
308 |
308 |
} |
309 |
309 |
} catch (err) {} |
310 |
310 |
{{/code}} |