Änderungen von Dokument Einmalanmeldung
Änderungskommentar:
Es gibt keinen Kommentar für diese Version
Zusammenfassung
-
Seiteneigenschaften (3 geändert, 0 hinzugefügt, 0 gelöscht)
-
Anhänge (4 geändert, 0 hinzugefügt, 0 gelöscht)
Details
- Seiteneigenschaften
-
- Dokument-Autor
-
... ... @@ -1,1 +1,1 @@ 1 -XWiki. nlo1 +XWiki.awa - Tags
-
... ... @@ -1,1 +1,0 @@ 1 -SSO|Single-Sign-On|Single|NTLM|Kerberos - Inhalt
-
... ... @@ -1,9 +3,7 @@ 1 -Die //Einmalanmeldung// für {{smallcaps}}Ntlm{{/smallcaps}} und Kerberos ist ein kostenpflichtiges {{formcycle/}} Zusatzmodul. 2 - 3 3 {{content/}} 4 4 5 5 {{figure image="single_sign_on_ntlm_de.png" width="600"}} 6 -Nutzeroberfläche für die Einstellungen zu {{smallcaps}}Ntlm{{/smallcaps}}. Sie ist nur verfügbar, wenn die Lizenzdies erlaubt.4 +Nutzeroberfläche für die Einstellungen zu {{smallcaps}}Ntlm{{/smallcaps}}. Nur verfügbar, wenn die Lizens dies erlaubt. 7 7 {{/figure}} 8 8 9 9 {{smallcaps}}Ntlm{{/smallcaps}} wird für die Authentifizierung von Formularbenutzern verwendet. Ein typisches Einsatzszenario sind Formulare, die intern von Mitarbeitern eines Unternehmens aufgerufen werden. Über {{smallcaps}}Ntlm{{/smallcaps}} kann das Formular auf die Benutzerdaten des angemeldeten ActiveDirectory zugreifen. ... ... @@ -22,9 +22,9 @@ 22 22 23 23 === Domain-Controller Host === 24 24 25 -Host (FQN) des ActiveDirectory Controller für die {{smallcaps}}Ntlm{{/smallcaps}}-Authentifizierung eines Benutzers und die anschließende Ermittlung dessen Daten über {{smallcaps}}Ldap{{/smallcaps}}.23 +Host (FQN) des ActiveDirectory Controller für die {{smallcaps}}Ntlm{{/smallcaps}}-Authentifizierung eines Benutzers und die anschließende Ermittlung dessen Daten über LDAP. 26 26 27 -{{code language="none"}}25 +{{code}} 28 28 Beispiel: domain.example.de 29 29 {{/code}} 30 30 ... ... @@ -36,7 +36,7 @@ 36 36 37 37 Hostname des Active-Directory-Controller. 38 38 39 -{{code language="none"}}37 +{{code}} 40 40 Beispiel: domain 41 41 {{/code}} 42 42 ... ... @@ -44,7 +44,7 @@ 44 44 45 45 Hier können je nach AD verschiedene Schreibweisen des Domainnamen verwendet werden. 46 46 47 -{{code language="none"}}45 +{{code}} 48 48 Beispiel: example.de oder example0 49 49 {{/code}} 50 50 ... ... @@ -64,7 +64,7 @@ 64 64 Ein Computer-Account ist am '$'-Zeichen im Domain-Namen erkennbar. z.B. example$@domain.de 65 65 {{/info}} 66 66 67 -Beschreibung für die Vorgehensweise zur Erzeugung eines Computer-Accounts im //Active Directory Server// (externer Link): [[Creating a Computer Account for NTLM Authentication>>https:// techdocs.broadcom.com/content/broadcom/techdocs/us/en/ca-enterprise-software/layer7-api-management/api-gateway/9-3/policy-assertions/assertion-palette/access-control-assertions/require-ntlm-authentication-credentials-assertion/creating-a-computer-account-for-ntlm-authentication.html||rel="__blank" title="Creating a Computer Account for NTLM Authentication"]]65 +Beschreibung für die Vorgehensweise zur Erzeugung eines Computer-Accounts im //Active Directory Server// (externer Link): [[Creating a Computer Account for NTLM Authentication>>url:https://wiki.ca.com/display/GATEWAY83/Creating+a+Computer+Account+for+NTLM+Authentication||rel="__blank" title="Creating a Computer Account for NTLM Authentication"]] 68 68 69 69 === Computerkontopasswort === 70 70 ... ... @@ -76,11 +76,11 @@ 76 76 77 77 === Port === 78 78 79 -Der zu verwende Port für die Verbindung mit dem {{smallcaps}}Ldap{{/smallcaps}}-Server zur Nutzersuche77 +Der zu verwende Port für die Verbindung mit dem LDAP-Server zur Nutzersuche 80 80 81 81 === SSL-Verbindung === 82 82 83 -Ermöglich das Aktivierung der SSL-verschlüsselten Kommunikation mit dem {{smallcaps}}Ldap{{/smallcaps}}-Server.81 +Ermöglich das Aktivierung der SSL-verschlüsselten Kommunikation mit dem LDAP-Server 84 84 85 85 === Verweis-Sprünge === 86 86 ... ... @@ -88,9 +88,9 @@ 88 88 89 89 === Nutzerkonto (mit Domainangabe) === 90 90 91 -Konto für die Benutzersuche innerhalb des {{smallcaps}}Ldap{{/smallcaps}}-Servers. Dieses Konto muss entsprechende Rechte für eine Nutzersuche besitzen.89 +Konto für die Benutzersuche innerhalb des LDAP-Servers. Dieses Konto muss entsprechende Rechte für eine Nutzersuche besitzen. 92 92 93 -{{code language="none"}}91 +{{code}} 94 94 Beispiel: ldap@example.de 95 95 {{/code}} 96 96 ... ... @@ -100,9 +100,9 @@ 100 100 101 101 === BaseDN für Suche === 102 102 103 - {{smallcaps}}Ldap{{/smallcaps}}BaseDN unter der die zu authentifizierten Benutzer gesucht werden sollen.101 +LDAP BaseDN unter der die zu authentifizierten Benutzer gesucht werden sollen. 104 104 105 -{{code language="none"}}103 +{{code}} 106 106 Beispiel: ou="users", dc="example", dc="de" 107 107 {{/code}} 108 108 ... ... @@ -128,7 +128,7 @@ 128 128 === Nutzername === 129 129 130 130 Windows Domain Account, welcher für den Zugriff auf das Key Distribution Center (KDC) benötigt wird, um den nachfolgenden Authentifizierungsprozess einzuleiten. 131 -In den meisten Fällen ist dies ein User-Account aus dem AD, welcher als Service-Account fungiert und nicht zur Anmeldung an einer Workstation gedacht ist. 129 +In den meisten Fällen ist dies ein User-Account aus dem AD, welcher als Service-Account fungiert und nicht zur Anmeldung an einer Workstation gedacht ist. 132 132 133 133 {{info}} 134 134 Es wird ein Nutzername mit Domainangabe (FQDN) benötigt, wenn in der **krb5.conf** Datei, unter dem Abschnitt //[libdefaults]//, kein **default_realm** definiert ist. ... ... @@ -135,11 +135,6 @@ 135 135 //Beispiel: user@EXCAMPLE.COM // 136 136 {{/info}} 137 137 138 -{{info}} 139 -Diesem Benutzer müssen z.B. im Active Directory die zu verwendeten Domians als ServiePrincipalName beginnend mit der Serviceklasse HTTP registriert werden. Mehr dazu finden Sie [[hier>>https://social.technet.microsoft.com/wiki/contents/articles/717.service-principal-names-spn-setspn-syntax.aspx||target="_blank"]] oder [[hier>>https://docs.microsoft.com/en-us/windows-server/networking/sdn/security/kerberos-with-spn||target="_blank"]]. 140 -{{/info}} 141 - 142 -(% class="wikigeneratedid" %) 143 143 === Passwort === 144 144 145 145 Passwort des oben genannten Service-Accounts ... ... @@ -247,6 +247,7 @@ 247 247 Der Name, welcher in der //login.conf// Datei für die Definition des Servers verwendet wird. 248 248 249 249 {{error}} 243 + 250 250 Sollte es bei aktiviertem Kerberos vereinzelt oder dauerhaft zu Fehlern beim Formular-Aufruf kommen (HTTP-Status 400), so überschreitet das Kerberos-Ticket die standardmäßige Größenlimitierung des HTTP-Headers durch den Anwendungsserver (z.B. Tomcat). Eine Lösung bringt die Erhöhung dieser Limitierung welche [[hier>>doc:Formcycle.SystemSettings.TomcatSettings.LimitHTTPHeader]] beschrieben wird. 251 251 {{/error}} 252 252 ... ... @@ -289,22 +289,22 @@ 289 289 290 290 == Ausgelesene LDAP-Nutzerdaten im Designer verarbeiten == 291 291 292 -Die zum authentifizierten Nutzer ermittelten Eigenschaften aus dem LDAP werden im **XFC_METADATA**-Objekt abgelegt und stehen dadurch im Formular zur Verfügung. Am JSON-Objekt **user** befindet sich die Eigenschaft ** rawData**, welche die ermittelten Daten als JSON-Struktur beinhaltet.286 +Die zum authentifizierten Nutzer ermittelten Eigenschaften aus dem LDAP werden im **XFC_METADATA**-Objekt abgelegt und stehen dadurch im Formular zur Verfügung. Am JSON-Objekt **currentUser** befindet sich die Eigenschaft **ldap**, welche die ermittelten Daten als JSON-Struktur beinhaltet. 293 293 294 294 {{info}} 295 -Welche Daten die JSON-Struktur unter der ** rawData**Eigenschaft beinhaltet, hängt maßgeblich von den Leserechten des LDAP-Accounts ab,289 +Welche Daten die JSON-Struktur unter der **ldap** Eigenschaft beinhaltet, hängt maßgeblich von den Leserechten des LDAP-Accounts ab, 296 296 welcher die Nutzersuche im LDAP-System durchführt. 297 297 {{/info}} 298 298 299 299 Das nachfolgende JS-Codeschnipsel zeigt einen Zugriff auf die LDAP-Eigenschaft //userPrincipalName// mittels JS im Designer: 300 300 301 -{{code language="javascript"}} 295 +{{code language="javascript" title=""}} 302 302 try { 303 303 // Auslesen der Property und Anzeige in einem Label 304 304 var elem = $('[name=txt1]'); 305 - var ldap = XFC_METADATA.user. rawData;299 + var ldap = XFC_METADATA.currentUser.ldap; 306 306 if(ldap.hasOwnProperty('userPrincipalName')) { 307 - elem. html(ldap.userPrincipalName);301 + elem.append(ldap.userPrincipalName); 308 308 } 309 309 } catch (err) {} 310 310 {{/code}}
- single_sign_on_kerberos_de.png
-
- Author
-
... ... @@ -1,1 +1,1 @@ 1 -XWiki. nlo1 +XWiki.awa - Größe
-
... ... @@ -1,1 +1,1 @@ 1 - 35.0KB1 +57.6 KB - Inhalt
- single_sign_on_kerberos_en.png
-
- Author
-
... ... @@ -1,1 +1,1 @@ 1 -XWiki. nlo1 +XWiki.awa - Größe
-
... ... @@ -1,1 +1,1 @@ 1 -3 2.1 KB1 +53.1 KB - Inhalt
- single_sign_on_ntlm_de.png
-
- Author
-
... ... @@ -1,1 +1,1 @@ 1 -XWiki. nlo1 +XWiki.awa - Größe
-
... ... @@ -1,1 +1,1 @@ 1 - 35.8KB1 +54.5 KB - Inhalt
- single_sign_on_ntlm_en.png
-
- Author
-
... ... @@ -1,1 +1,1 @@ 1 -XWiki. nlo1 +XWiki.awa - Größe
-
... ... @@ -1,1 +1,1 @@ 1 - 33.4KB1 +50.7 KB - Inhalt