Änderungen von Dokument Einmalanmeldung
Änderungskommentar:
Neues Bild single_sign_on_ntlm_en.png hochladen
Zusammenfassung
-
Seiteneigenschaften (3 geändert, 0 hinzugefügt, 0 gelöscht)
-
Anhänge (4 geändert, 0 hinzugefügt, 0 gelöscht)
Details
- Seiteneigenschaften
-
- Dokument-Autor
-
... ... @@ -1,1 +1,1 @@ 1 -XWiki. awa1 +XWiki.nlo - Tags
-
... ... @@ -1,0 +1,1 @@ 1 +SSO|Single-Sign-On|Single|NTLM|Kerberos - Inhalt
-
... ... @@ -1,7 +1,9 @@ 1 +Die //Einmalanmeldung// für {{smallcaps}}Ntlm{{/smallcaps}} und Kerberos ist ein kostenpflichtiges {{formcycle/}} Zusatzmodul. 2 + 1 1 {{content/}} 2 2 3 3 {{figure image="single_sign_on_ntlm_de.png" width="600"}} 4 -Nutzeroberfläche für die Einstellungen zu {{smallcaps}}Ntlm{{/smallcaps}}. Nur verfügbar, wenn die Lizensdies erlaubt.6 +Nutzeroberfläche für die Einstellungen zu {{smallcaps}}Ntlm{{/smallcaps}}. Sie ist nur verfügbar, wenn die Lizenz dies erlaubt. 5 5 {{/figure}} 6 6 7 7 {{smallcaps}}Ntlm{{/smallcaps}} wird für die Authentifizierung von Formularbenutzern verwendet. Ein typisches Einsatzszenario sind Formulare, die intern von Mitarbeitern eines Unternehmens aufgerufen werden. Über {{smallcaps}}Ntlm{{/smallcaps}} kann das Formular auf die Benutzerdaten des angemeldeten ActiveDirectory zugreifen. ... ... @@ -20,9 +20,9 @@ 20 20 21 21 === Domain-Controller Host === 22 22 23 -Host (FQN) des ActiveDirectory Controller für die {{smallcaps}}Ntlm{{/smallcaps}}-Authentifizierung eines Benutzers und die anschließende Ermittlung dessen Daten über L DAP.25 +Host (FQN) des ActiveDirectory Controller für die {{smallcaps}}Ntlm{{/smallcaps}}-Authentifizierung eines Benutzers und die anschließende Ermittlung dessen Daten über {{smallcaps}}Ldap{{/smallcaps}}. 24 24 25 -{{code}} 27 +{{code language="none"}} 26 26 Beispiel: domain.example.de 27 27 {{/code}} 28 28 ... ... @@ -34,7 +34,7 @@ 34 34 35 35 Hostname des Active-Directory-Controller. 36 36 37 -{{code}} 39 +{{code language="none"}} 38 38 Beispiel: domain 39 39 {{/code}} 40 40 ... ... @@ -42,7 +42,7 @@ 42 42 43 43 Hier können je nach AD verschiedene Schreibweisen des Domainnamen verwendet werden. 44 44 45 -{{code}} 47 +{{code language="none"}} 46 46 Beispiel: example.de oder example0 47 47 {{/code}} 48 48 ... ... @@ -62,7 +62,7 @@ 62 62 Ein Computer-Account ist am '$'-Zeichen im Domain-Namen erkennbar. z.B. example$@domain.de 63 63 {{/info}} 64 64 65 -Beschreibung für die Vorgehensweise zur Erzeugung eines Computer-Accounts im //Active Directory Server// (externer Link): [[Creating a Computer Account for NTLM Authentication>> url:https://wiki.ca.com/display/GATEWAY83/Creating+a+Computer+Account+for+NTLM+Authentication||rel="__blank" title="Creating a Computer Account for NTLM Authentication"]]67 +Beschreibung für die Vorgehensweise zur Erzeugung eines Computer-Accounts im //Active Directory Server// (externer Link): [[Creating a Computer Account for NTLM Authentication>>https://techdocs.broadcom.com/content/broadcom/techdocs/us/en/ca-enterprise-software/layer7-api-management/api-gateway/9-3/policy-assertions/assertion-palette/access-control-assertions/require-ntlm-authentication-credentials-assertion/creating-a-computer-account-for-ntlm-authentication.html||rel="__blank" title="Creating a Computer Account for NTLM Authentication"]] 66 66 67 67 === Computerkontopasswort === 68 68 ... ... @@ -74,11 +74,11 @@ 74 74 75 75 === Port === 76 76 77 -Der zu verwende Port für die Verbindung mit dem L DAP-Server zur Nutzersuche79 +Der zu verwende Port für die Verbindung mit dem {{smallcaps}}Ldap{{/smallcaps}}-Server zur Nutzersuche 78 78 79 79 === SSL-Verbindung === 80 80 81 -Ermöglich das Aktivierung der SSL-verschlüsselten Kommunikation mit dem L DAP-Server83 +Ermöglich das Aktivierung der SSL-verschlüsselten Kommunikation mit dem {{smallcaps}}Ldap{{/smallcaps}}-Server. 82 82 83 83 === Verweis-Sprünge === 84 84 ... ... @@ -86,9 +86,9 @@ 86 86 87 87 === Nutzerkonto (mit Domainangabe) === 88 88 89 -Konto für die Benutzersuche innerhalb des L DAP-Servers. Dieses Konto muss entsprechende Rechte für eine Nutzersuche besitzen.91 +Konto für die Benutzersuche innerhalb des {{smallcaps}}Ldap{{/smallcaps}}-Servers. Dieses Konto muss entsprechende Rechte für eine Nutzersuche besitzen. 90 90 91 -{{code}} 93 +{{code language="none"}} 92 92 Beispiel: ldap@example.de 93 93 {{/code}} 94 94 ... ... @@ -98,9 +98,9 @@ 98 98 99 99 === BaseDN für Suche === 100 100 101 -L DAPBaseDN unter der die zu authentifizierten Benutzer gesucht werden sollen.103 +{{smallcaps}}Ldap{{/smallcaps}} BaseDN unter der die zu authentifizierten Benutzer gesucht werden sollen. 102 102 103 -{{code}} 105 +{{code language="none"}} 104 104 Beispiel: ou="users", dc="example", dc="de" 105 105 {{/code}} 106 106 ... ... @@ -126,7 +126,7 @@ 126 126 === Nutzername === 127 127 128 128 Windows Domain Account, welcher für den Zugriff auf das Key Distribution Center (KDC) benötigt wird, um den nachfolgenden Authentifizierungsprozess einzuleiten. 129 -In den meisten Fällen ist dies ein User-Account aus dem AD, welcher als Service-Account fungiert und nicht zur Anmeldung an einer Workstation gedacht ist. 131 +In den meisten Fällen ist dies ein User-Account aus dem AD, welcher als Service-Account fungiert und nicht zur Anmeldung an einer Workstation gedacht ist. 130 130 131 131 {{info}} 132 132 Es wird ein Nutzername mit Domainangabe (FQDN) benötigt, wenn in der **krb5.conf** Datei, unter dem Abschnitt //[libdefaults]//, kein **default_realm** definiert ist. ... ... @@ -133,6 +133,11 @@ 133 133 //Beispiel: user@EXCAMPLE.COM // 134 134 {{/info}} 135 135 138 +{{info}} 139 +Diesem Benutzer müssen z.B. im Active Directory die zu verwendeten Domians als ServiePrincipalName beginnend mit der Serviceklasse HTTP registriert werden. Mehr dazu finden Sie [[hier>>https://social.technet.microsoft.com/wiki/contents/articles/717.service-principal-names-spn-setspn-syntax.aspx||target="_blank"]] oder [[hier>>https://docs.microsoft.com/en-us/windows-server/networking/sdn/security/kerberos-with-spn||target="_blank"]]. 140 +{{/info}} 141 + 142 +(% class="wikigeneratedid" %) 136 136 === Passwort === 137 137 138 138 Passwort des oben genannten Service-Accounts ... ... @@ -240,7 +240,6 @@ 240 240 Der Name, welcher in der //login.conf// Datei für die Definition des Servers verwendet wird. 241 241 242 242 {{error}} 243 - 244 244 Sollte es bei aktiviertem Kerberos vereinzelt oder dauerhaft zu Fehlern beim Formular-Aufruf kommen (HTTP-Status 400), so überschreitet das Kerberos-Ticket die standardmäßige Größenlimitierung des HTTP-Headers durch den Anwendungsserver (z.B. Tomcat). Eine Lösung bringt die Erhöhung dieser Limitierung welche [[hier>>doc:Formcycle.SystemSettings.TomcatSettings.LimitHTTPHeader]] beschrieben wird. 245 245 {{/error}} 246 246 ... ... @@ -283,22 +283,22 @@ 283 283 284 284 == Ausgelesene LDAP-Nutzerdaten im Designer verarbeiten == 285 285 286 -Die zum authentifizierten Nutzer ermittelten Eigenschaften aus dem LDAP werden im **XFC_METADATA**-Objekt abgelegt und stehen dadurch im Formular zur Verfügung. Am JSON-Objekt ** currentUser** befindet sich die Eigenschaft **ldap**, welche die ermittelten Daten als JSON-Struktur beinhaltet.292 +Die zum authentifizierten Nutzer ermittelten Eigenschaften aus dem LDAP werden im **XFC_METADATA**-Objekt abgelegt und stehen dadurch im Formular zur Verfügung. Am JSON-Objekt **user** befindet sich die Eigenschaft **rawData**, welche die ermittelten Daten als JSON-Struktur beinhaltet. 287 287 288 288 {{info}} 289 -Welche Daten die JSON-Struktur unter der ** ldap**295 +Welche Daten die JSON-Struktur unter der **rawData **Eigenschaft beinhaltet, hängt maßgeblich von den Leserechten des LDAP-Accounts ab, 290 290 welcher die Nutzersuche im LDAP-System durchführt. 291 291 {{/info}} 292 292 293 293 Das nachfolgende JS-Codeschnipsel zeigt einen Zugriff auf die LDAP-Eigenschaft //userPrincipalName// mittels JS im Designer: 294 294 295 -{{code language="javascript" title=""}}301 +{{code language="javascript"}} 296 296 try { 297 297 // Auslesen der Property und Anzeige in einem Label 298 298 var elem = $('[name=txt1]'); 299 - var ldap = XFC_METADATA. currentUser.ldap;305 + var ldap = XFC_METADATA.user.rawData; 300 300 if(ldap.hasOwnProperty('userPrincipalName')) { 301 - elem. append(ldap.userPrincipalName);307 + elem.html(ldap.userPrincipalName); 302 302 } 303 303 } catch (err) {} 304 304 {{/code}}
- single_sign_on_kerberos_de.png
-
- Author
-
... ... @@ -1,1 +1,1 @@ 1 -XWiki. awa1 +XWiki.nlo - Größe
-
... ... @@ -1,1 +1,1 @@ 1 -5 7.6KB1 +35.0 KB - Inhalt
- single_sign_on_kerberos_en.png
-
- Author
-
... ... @@ -1,1 +1,1 @@ 1 -XWiki. awa1 +XWiki.nlo - Größe
-
... ... @@ -1,1 +1,1 @@ 1 - 53.1 KB1 +32.1 KB - Inhalt
- single_sign_on_ntlm_de.png
-
- Author
-
... ... @@ -1,1 +1,1 @@ 1 -XWiki. awa1 +XWiki.nlo - Größe
-
... ... @@ -1,1 +1,1 @@ 1 -5 4.5KB1 +35.8 KB - Inhalt
- single_sign_on_ntlm_en.png
-
- Author
-
... ... @@ -1,1 +1,1 @@ 1 -XWiki. awa1 +XWiki.nlo - Größe
-
... ... @@ -1,1 +1,1 @@ 1 - 50.7KB1 +33.4 KB - Inhalt