Änderungen von Dokument Einmalanmeldung

Von Version < 2.1 >
bearbeitet von awa
am 08.04.2019, 13:35
Auf Version < 15.1
bearbeitet von nlo
am 18.03.2021, 17:18
<
Änderungskommentar: Neues Bild single_sign_on_ntlm_en.png hochladen

Zusammenfassung

Details

Seiteneigenschaften
Titel
... ... @@ -1,1 +1,1 @@
1 -RTH_DE_EN_Einmalanmeldung
1 +Einmalanmeldung
Dokument-Autor
... ... @@ -1,1 +1,1 @@
1 -XWiki.awa
1 +XWiki.nlo
Tags
... ... @@ -1,0 +1,1 @@
1 +SSO|Single-Sign-On|Single|NTLM|Kerberos
Inhalt
... ... @@ -1,18 +1,20 @@
1 -Da Kerberos und NTLM jetzt im Einmalanmeldemezusammen sind, muss diese Seite in deutsch und englisch neu erstellt werden. Der Inhalt der beiden alten Seiten befindet sich erstmal noch hier:
1 +Die //Einmalanmeldung// für {{smallcaps}}Ntlm{{/smallcaps}} und Kerberos ist ein kostenpflichtiges {{formcycle/}} Zusatzmodul.
2 2  
3 3  {{content/}}
4 4  
5 -{{figure image="ntlm" width="300"/}}
5 +{{figure image="single_sign_on_ntlm_de.png" width="600"}}
6 +Nutzeroberfläche für die Einstellungen zu {{smallcaps}}Ntlm{{/smallcaps}}. Sie ist nur verfügbar, wenn die Lizenz dies erlaubt.
7 +{{/figure}}
6 6  
7 -NTLM wird für die Authentifizierung von Formularbenutzern verwendet. Ein typisches Einsatzszenario sind Formulare, die intern von Mitarbeitern eines Unternehmens aufgerufen werden. Über NTLM kann das Formular auf die Benutzerdaten des angemeldeten ActiveDirectory zugreifen.
9 +{{smallcaps}}Ntlm{{/smallcaps}} wird für die Authentifizierung von Formularbenutzern verwendet. Ein typisches Einsatzszenario sind Formulare, die intern von Mitarbeitern eines Unternehmens aufgerufen werden. Über {{smallcaps}}Ntlm{{/smallcaps}} kann das Formular auf die Benutzerdaten des angemeldeten ActiveDirectory zugreifen.
8 8  
9 9  {{info}}
10 -NTLM ist nur verfügbar, wenn die Lizenz dies erlaubt.
12 +{{smallcaps}}Ntlm{{/smallcaps}} ist nur verfügbar, wenn die Lizenz dies erlaubt.
11 11  {{/info}}
12 12  
13 13  == NTLM nutzen ==
14 14  
15 -Mit diesem Schalter lässt sich die NTLM-Benutzerauthentifizierung für Formulare aktivieren bzw. deaktivieren
17 +Mit diesem Schalter lässt sich die {{smallcaps}}Ntlm{{/smallcaps}}-Benutzerauthentifizierung für Formulare aktivieren bzw. deaktivieren
16 16  
17 17  === Mit {{fserver/}} synchronisieren ===
18 18  
... ... @@ -20,21 +20,21 @@
20 20  
21 21  === Domain-Controller Host ===
22 22  
23 -Host (FQN) des ActiveDirectory Controller für die NTLM-Authentifizierung eines Benutzers und die anschließende Ermittlung dessen Daten über LDAP.
25 +Host (FQN) des ActiveDirectory Controller für die {{smallcaps}}Ntlm{{/smallcaps}}-Authentifizierung eines Benutzers und die anschließende Ermittlung dessen Daten über {{smallcaps}}Ldap{{/smallcaps}}.
24 24  
25 -{{code}}
27 +{{code language="none"}}
26 26  Beispiel: domain.example.de
27 27  {{/code}}
28 28  
29 29  == NTLM-Authentifizierung ==
30 30  
31 -Die folgenden Einstellungen sind für die Authentifizierung eines Benutzers mittels NTLM notwendig:
33 +Die folgenden Einstellungen sind für die Authentifizierung eines Benutzers mittels {{smallcaps}}Ntlm{{/smallcaps}} notwendig:
32 32  
33 33  === Hostname des Domain-Controller Hosts ===
34 34  
35 35  Hostname des Active-Directory-Controller.
36 36  
37 -{{code}}
39 +{{code language="none"}}
38 38  Beispiel: domain
39 39  {{/code}}
40 40  
... ... @@ -42,7 +42,7 @@
42 42  
43 43  Hier können je nach AD verschiedene Schreibweisen des Domainnamen verwendet werden.
44 44  
45 -{{code}}
47 +{{code language="none"}}
46 46  Beispiel: example.de oder example0
47 47  {{/code}}
48 48  
... ... @@ -62,7 +62,7 @@
62 62  Ein Computer-Account ist am '$'-Zeichen im Domain-Namen erkennbar. z.B. example$@domain.de
63 63  {{/info}}
64 64  
65 -Beschreibung für die Vorgehensweise zur Erzeugung eines Computer-Accounts im //Active Directory Server// (externer Link): [[Creating a Computer Account for NTLM Authentication>>url:https://wiki.ca.com/display/GATEWAY83/Creating+a+Computer+Account+for+NTLM+Authentication||rel="__blank" title="Creating a Computer Account for NTLM Authentication"]]
67 +Beschreibung für die Vorgehensweise zur Erzeugung eines Computer-Accounts im //Active Directory Server// (externer Link): [[Creating a Computer Account for NTLM Authentication>>https://techdocs.broadcom.com/content/broadcom/techdocs/us/en/ca-enterprise-software/layer7-api-management/api-gateway/9-3/policy-assertions/assertion-palette/access-control-assertions/require-ntlm-authentication-credentials-assertion/creating-a-computer-account-for-ntlm-authentication.html||rel="__blank" title="Creating a Computer Account for NTLM Authentication"]]
66 66  
67 67  === Computerkontopasswort ===
68 68  
... ... @@ -70,15 +70,15 @@
70 70  
71 71  == LDAP-Benutzersuche ==
72 72  
73 -Die folgenden Einstellungen sind für eine Nutzersuche nach erfolgter NTLM-Authentifizierung notwendig:
75 +Die folgenden Einstellungen sind für eine Nutzersuche nach erfolgter {{smallcaps}}Ntlm{{/smallcaps}}-Authentifizierung notwendig:
74 74  
75 75  === Port ===
76 76  
77 -Der zu verwende Port für die Verbindung mit dem LDAP-Server zur Nutzersuche
79 +Der zu verwende Port für die Verbindung mit dem {{smallcaps}}Ldap{{/smallcaps}}-Server zur Nutzersuche
78 78  
79 79  === SSL-Verbindung ===
80 80  
81 -Ermöglich das Aktivierung der SSL-verschlüsselten Kommunikation mit dem LDAP-Server
83 +Ermöglich das Aktivierung der SSL-verschlüsselten Kommunikation mit dem {{smallcaps}}Ldap{{/smallcaps}}-Server.
82 82  
83 83  === Verweis-Sprünge ===
84 84  
... ... @@ -86,9 +86,9 @@
86 86  
87 87  === Nutzerkonto (mit Domainangabe) ===
88 88  
89 -Konto für die Benutzersuche innerhalb des LDAP-Servers. Dieses Konto muss entsprechende Rechte für eine Nutzersuche besitzen.
91 +Konto für die Benutzersuche innerhalb des {{smallcaps}}Ldap{{/smallcaps}}-Servers. Dieses Konto muss entsprechende Rechte für eine Nutzersuche besitzen.
90 90  
91 -{{code}}
93 +{{code language="none"}}
92 92  Beispiel: ldap@example.de
93 93  {{/code}}
94 94  
... ... @@ -98,18 +98,15 @@
98 98  
99 99  === BaseDN für Suche ===
100 100  
101 -LDAP BaseDN unter der die zu authentifizierten Benutzer gesucht werden sollen.
103 +{{smallcaps}}Ldap{{/smallcaps}} BaseDN unter der die zu authentifizierten Benutzer gesucht werden sollen.
102 102  
103 -{{code}}
105 +{{code language="none"}}
104 104  Beispiel: ou="users", dc="example", dc="de"
105 105  {{/code}}
106 106  
107 -
108 -
109 -
110 110  == Einstellungen für Kerberos Authentifizierung ==
111 111  
112 -{{figure image="kerberos"}}
111 +{{figure image="single_sign_on_kerberos_de.png" width="600"}}
113 113  Nutzeroberfläche für die Einstellungen zu Kerberos. Nur verfügbar, wenn die Lizens dies erlaubt.
114 114  {{/figure}}
115 115  
... ... @@ -129,7 +129,7 @@
129 129  === Nutzername ===
130 130  
131 131  Windows Domain Account, welcher für den Zugriff auf das Key Distribution Center (KDC) benötigt wird, um den nachfolgenden Authentifizierungsprozess einzuleiten.
132 -In den meisten Fällen ist dies ein User-Account aus dem AD, welcher als Service-Account fungiert und nicht zur Anmeldung an einer Workstation gedacht ist. 
131 +In den meisten Fällen ist dies ein User-Account aus dem AD, welcher als Service-Account fungiert und nicht zur Anmeldung an einer Workstation gedacht ist.
133 133  
134 134  {{info}}
135 135  Es wird ein Nutzername mit Domainangabe (FQDN) benötigt, wenn in der **krb5.conf** Datei, unter dem Abschnitt //[libdefaults]//, kein **default_realm** definiert ist.
... ... @@ -136,9 +136,14 @@
136 136  //Beispiel: user@EXCAMPLE.COM //
137 137  {{/info}}
138 138  
138 +{{info}}
139 +Diesem Benutzer müssen z.B. im Active Directory die zu verwendeten Domians als ServiePrincipalName beginnend mit der Serviceklasse HTTP registriert werden. Mehr dazu finden Sie [[hier>>https://social.technet.microsoft.com/wiki/contents/articles/717.service-principal-names-spn-setspn-syntax.aspx||target="_blank"]] oder [[hier>>https://docs.microsoft.com/en-us/windows-server/networking/sdn/security/kerberos-with-spn||target="_blank"]].
140 +{{/info}}
141 +
142 +(% class="wikigeneratedid" %)
139 139  === Passwort ===
140 140  
141 -Passwort des o.g. Service-Accounts
145 +Passwort des oben genannten Service-Accounts
142 142  
143 143  === Datei krb5.conf ===
144 144  
... ... @@ -243,10 +243,7 @@
243 243  Der Name, welcher in der //login.conf// Datei für die Definition des Servers verwendet wird.
244 244  
245 245  {{error}}
246 -
247 -
248 -
249 -Sollte es bei aktiviertem Kerberos vereinzelt oder dauerhaft zu Fehlern beim Formular-Aufruf kommen (HTTP-Status 400), so überschreitet das Kerberos-Ticket die standardmäßige Größenlimitierung des HTTP-Headers durch den Anwendungsserver (z.B. Tomcat). Eine Lösung bringt die Erhöhung dieser Limitierung welche [[hier>>doc:Main.Beschraenkung der HTTP-Header-Groesse aendern]] beschrieben wird.
250 +Sollte es bei aktiviertem Kerberos vereinzelt oder dauerhaft zu Fehlern beim Formular-Aufruf kommen (HTTP-Status 400), so überschreitet das Kerberos-Ticket die standardmäßige Größenlimitierung des HTTP-Headers durch den Anwendungsserver (z.B. Tomcat). Eine Lösung bringt die Erhöhung dieser Limitierung welche [[hier>>doc:Formcycle.SystemSettings.TomcatSettings.LimitHTTPHeader]] beschrieben wird.
250 250  {{/error}}
251 251  
252 252  == LDAP Benutzersuche ==
... ... @@ -288,22 +288,22 @@
288 288  
289 289  == Ausgelesene LDAP-Nutzerdaten im Designer verarbeiten ==
290 290  
291 -Die zum authentifizierten Nutzer ermittelten Eigenschaften aus dem LDAP werden im **XFC_METADATA**-Objekt abgelegt und stehen dadurch im Formular zur Verfügung. Am JSON-Objekt **currentUser** befindet sich die Eigenschaft **ldap**, welche die ermittelten Daten als JSON-Struktur beinhaltet.
292 +Die zum authentifizierten Nutzer ermittelten Eigenschaften aus dem LDAP werden im **XFC_METADATA**-Objekt abgelegt und stehen dadurch im Formular zur Verfügung. Am JSON-Objekt **user** befindet sich die Eigenschaft **rawData**, welche die ermittelten Daten als JSON-Struktur beinhaltet.
292 292  
293 293  {{info}}
294 -Welche Daten die JSON-Struktur unter der **ldap** Eigenschaft beinhaltet, hängt maßgeblich von den Leserechten des LDAP-Accounts ab,
295 +Welche Daten die JSON-Struktur unter der **rawData **Eigenschaft beinhaltet, hängt maßgeblich von den Leserechten des LDAP-Accounts ab,
295 295  welcher die Nutzersuche im LDAP-System durchführt.
296 296  {{/info}}
297 297  
298 298  Das nachfolgende JS-Codeschnipsel zeigt einen Zugriff auf die LDAP-Eigenschaft //userPrincipalName// mittels JS im Designer:
299 299  
300 -{{code language="javascript" title=""}}
301 +{{code language="javascript"}}
301 301  try {
302 302   // Auslesen der Property und Anzeige in einem Label
303 303   var elem = $('[name=txt1]');
304 - var ldap = XFC_METADATA.currentUser.ldap;
305 + var ldap = XFC_METADATA.user.rawData;
305 305   if(ldap.hasOwnProperty('userPrincipalName')) {
306 - elem.append(ldap.userPrincipalName);
307 + elem.html(ldap.userPrincipalName);
307 307   }
308 308  } catch (err) {}
309 309  {{/code}}
FCSnapshot27.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.gru
Größe
... ... @@ -1,1 +1,0 @@
1 -59.5 KB
Inhalt
ntlm.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.gru
Größe
... ... @@ -1,1 +1,0 @@
1 -70.1 KB
Inhalt
single_sign_on_kerberos_de.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.nlo
Größe
... ... @@ -1,0 +1,1 @@
1 +35.0 KB
Inhalt
single_sign_on_kerberos_en.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.nlo
Größe
... ... @@ -1,0 +1,1 @@
1 +32.1 KB
Inhalt
single_sign_on_ntlm_de.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.nlo
Größe
... ... @@ -1,0 +1,1 @@
1 +35.8 KB
Inhalt
single_sign_on_ntlm_en.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.nlo
Größe
... ... @@ -1,0 +1,1 @@
1 +33.4 KB
Inhalt

Navigation

Copyright 2000-2024