Von Version < 8.8 >
bearbeitet von awa
am 20.05.2019, 12:07
Auf Version < 1.5 >
bearbeitet von gru
am 25.03.2019, 12:03
< >
Änderungskommentar: Update document after refactoring.

Zusammenfassung

Details

Seiteneigenschaften
Dokument-Autor
... ... @@ -1,1 +1,1 @@
1 -XWiki.awa
1 +XWiki.gru
Inhalt
... ... @@ -1,18 +1,18 @@
1 +Da Kerberos und NTLM jetzt im Einmalanmeldemenü zusammen sind, muss diese Seite in deutsch und englisch neu erstellt werden. Der Inhalt der beiden alten Seiten befindet sich erstmal noch hier:
2 +
1 1  {{content/}}
2 2  
3 -{{figure image="single_sign_on_ntlm_de.png" width="600"}}
4 -Nutzeroberfläche für die Einstellungen zu {{smallcaps}}Ntlm{{/smallcaps}}. Nur verfügbar, wenn die Lizens dies erlaubt.
5 -{{/figure}}
5 +{{figure image="ntlm" width="300"/}}
6 6  
7 -{{smallcaps}}Ntlm{{/smallcaps}} wird für die Authentifizierung von Formularbenutzern verwendet. Ein typisches Einsatzszenario sind Formulare, die intern von Mitarbeitern eines Unternehmens aufgerufen werden. Über {{smallcaps}}Ntlm{{/smallcaps}} kann das Formular auf die Benutzerdaten des angemeldeten ActiveDirectory zugreifen.
7 +NTLM wird für die Authentifizierung von Formularbenutzern verwendet. Ein typisches Einsatzszenario sind Formulare, die intern von Mitarbeitern eines Unternehmens aufgerufen werden. Über NTLM kann das Formular auf die Benutzerdaten des angemeldeten ActiveDirectory zugreifen.
8 8  
9 9  {{info}}
10 -{{smallcaps}}Ntlm{{/smallcaps}}ist nur verfügbar, wenn die Lizenz dies erlaubt.
10 +NTLM ist nur verfügbar, wenn die Lizenz dies erlaubt.
11 11  {{/info}}
12 12  
13 13  == NTLM nutzen ==
14 14  
15 -Mit diesem Schalter lässt sich die {{smallcaps}}Ntlm{{/smallcaps}}-Benutzerauthentifizierung für Formulare aktivieren bzw. deaktivieren
15 +Mit diesem Schalter lässt sich die NTLM-Benutzerauthentifizierung für Formulare aktivieren bzw. deaktivieren
16 16  
17 17  === Mit {{fserver/}} synchronisieren ===
18 18  
... ... @@ -20,7 +20,7 @@
20 20  
21 21  === Domain-Controller Host ===
22 22  
23 -Host (FQN) des ActiveDirectory Controller für die {{smallcaps}}Ntlm{{/smallcaps}}-Authentifizierung eines Benutzers und die anschließende Ermittlung dessen Daten über {{smallcaps}}Ldap{{/smallcaps}}.
23 +Host (FQN) des ActiveDirectory Controller für die NTLM-Authentifizierung eines Benutzers und die anschließende Ermittlung dessen Daten über LDAP.
24 24  
25 25  {{code}}
26 26  Beispiel: domain.example.de
... ... @@ -28,7 +28,7 @@
28 28  
29 29  == NTLM-Authentifizierung ==
30 30  
31 -Die folgenden Einstellungen sind für die Authentifizierung eines Benutzers mittels {{smallcaps}}Ntlm{{/smallcaps}} notwendig:
31 +Die folgenden Einstellungen sind für die Authentifizierung eines Benutzers mittels NTLM notwendig:
32 32  
33 33  === Hostname des Domain-Controller Hosts ===
34 34  
... ... @@ -70,15 +70,15 @@
70 70  
71 71  == LDAP-Benutzersuche ==
72 72  
73 -Die folgenden Einstellungen sind für eine Nutzersuche nach erfolgter {{smallcaps}}Ntlm{{/smallcaps}}-Authentifizierung notwendig:
73 +Die folgenden Einstellungen sind für eine Nutzersuche nach erfolgter NTLM-Authentifizierung notwendig:
74 74  
75 75  === Port ===
76 76  
77 -Der zu verwende Port für die Verbindung mit dem {{smallcaps}}Ldap{{/smallcaps}}-Server zur Nutzersuche
77 +Der zu verwende Port für die Verbindung mit dem LDAP-Server zur Nutzersuche
78 78  
79 79  === SSL-Verbindung ===
80 80  
81 -Ermöglich das Aktivierung der SSL-verschlüsselten Kommunikation mit dem {{smallcaps}}Ldap{{/smallcaps}}-Server.
81 +Ermöglich das Aktivierung der SSL-verschlüsselten Kommunikation mit dem LDAP-Server
82 82  
83 83  === Verweis-Sprünge ===
84 84  
... ... @@ -86,7 +86,7 @@
86 86  
87 87  === Nutzerkonto (mit Domainangabe) ===
88 88  
89 -Konto für die Benutzersuche innerhalb des {{smallcaps}}Ldap{{/smallcaps}}-Servers. Dieses Konto muss entsprechende Rechte für eine Nutzersuche besitzen.
89 +Konto für die Benutzersuche innerhalb des LDAP-Servers. Dieses Konto muss entsprechende Rechte für eine Nutzersuche besitzen.
90 90  
91 91  {{code}}
92 92  Beispiel: ldap@example.de
... ... @@ -98,21 +98,22 @@
98 98  
99 99  === BaseDN für Suche ===
100 100  
101 -{{smallcaps}}Ldap{{/smallcaps}} BaseDN unter der die zu authentifizierten Benutzer gesucht werden sollen.
101 +LDAP BaseDN unter der die zu authentifizierten Benutzer gesucht werden sollen.
102 102  
103 103  {{code}}
104 104  Beispiel: ou="users", dc="example", dc="de"
105 105  {{/code}}
106 106  
107 +
108 +
109 +
107 107  == Einstellungen für Kerberos Authentifizierung ==
108 108  
109 -{{figure image="single_sign_on_kerberos_de.png" width="600"}}
110 -Nutzeroberfläche für die Einstellungen zu Kerberos. Nur verfügbar, wenn die Lizens dies erlaubt.
111 -{{/figure}}
112 +{{figure image="kerberos"}}Nutzeroberfläche für die Einstellungen zu Kerberos. Nur verfügbar, wenn die Lizens dies erlaubt.{{/figure}}
112 112  
113 113  Kerberos wird für die Authentifizierung von Formularbenutzern verwendet. Ein typischen Einsatzszenario sind Formulare, die "intern" von Mitarbeitern eines Unternehmens aufgerufen werden. In einem nachgeordneten Schritt kann das Formular dann Benutzerdaten des angemeldeten Nutzers aus dem ActiveDirectory bereitstellen.
114 114  
115 -Kerberos muss als Lizenz-Option freigeschaltet sein!
116 +Kerberos muss als Lizenz-Option freigeschaltet sein!
116 116  Ist dies der Fall, können folgende Einstellungen bearbeitet werden:
117 117  
118 118  === Kerberos nutzen ===
... ... @@ -126,7 +126,7 @@
126 126  === Nutzername ===
127 127  
128 128  Windows Domain Account, welcher für den Zugriff auf das Key Distribution Center (KDC) benötigt wird, um den nachfolgenden Authentifizierungsprozess einzuleiten.
129 -In den meisten Fällen ist dies ein User-Account aus dem AD, welcher als Service-Account fungiert und nicht zur Anmeldung an einer Workstation gedacht ist. 
130 +In den meisten Fällen ist dies ein User-Account aus dem AD, welcher als Service-Account fungiert und nicht zur Anmeldung an einer Workstation gedacht ist.
130 130  
131 131  {{info}}
132 132  Es wird ein Nutzername mit Domainangabe (FQDN) benötigt, wenn in der **krb5.conf** Datei, unter dem Abschnitt //[libdefaults]//, kein **default_realm** definiert ist.
... ... @@ -135,7 +135,7 @@
135 135  
136 136  === Passwort ===
137 137  
138 -Passwort des oben genannten Service-Accounts
139 +Passwort des o.g. Service-Accounts
139 139  
140 140  === Datei krb5.conf ===
141 141  
... ... @@ -239,8 +239,11 @@
239 239  
240 240  Der Name, welcher in der //login.conf// Datei für die Definition des Servers verwendet wird.
241 241  
243 +
244 +
245 +
242 242  {{error}}
243 -Sollte es bei aktiviertem Kerberos vereinzelt oder dauerhaft zu Fehlern beim Formular-Aufruf kommen (HTTP-Status 400), so überschreitet das Kerberos-Ticket die standardmäßige Größenlimitierung des HTTP-Headers durch den Anwendungsserver (z.B. Tomcat). Eine Lösung bringt die Erhöhung dieser Limitierung welche [[hier>>doc:Formcycle.SystemSettings.TomcatSettings.LimitHTTPHeader]] beschrieben wird.
247 +Sollte es bei aktiviertem Kerberos vereinzelt oder dauerhaft zu Fehlern beim Formular-Aufruf kommen (HTTP-Status 400), so überschreitet das Kerberos-Ticket die standardmäßige Größenlimitierung des HTTP-Headers durch den Anwendungsserver (z.B. Tomcat). Eine Lösung bringt die Erhöhung dieser Limitierung welche [[hier>>doc:Main.Beschraenkung der HTTP-Header-Groesse aendern]] beschrieben wird.
244 244  {{/error}}
245 245  
246 246  == LDAP Benutzersuche ==
... ... @@ -259,7 +259,7 @@
259 259  
260 260  === Verweis-Sprünge* ===
261 261  
262 -Gibt die maximale Anzahl von durchzuführenden Verweis-Sprüngen (Referrels-Hops) auf dem LDAP-Server an.
266 +Gibt die maximale Anzahl von durchzuführenden Verweis-Sprüngen (Referrels-Hops) auf dem LDAP-Server an.
263 263  Ein Wert von 0 deaktiviert ein Folgen von Verweisen.
264 264  
265 265  === Nutzer-Account (mit Domainangabe)* ===
... ... @@ -285,7 +285,7 @@
285 285  Die zum authentifizierten Nutzer ermittelten Eigenschaften aus dem LDAP werden im **XFC_METADATA**-Objekt abgelegt und stehen dadurch im Formular zur Verfügung. Am JSON-Objekt **currentUser** befindet sich die Eigenschaft **ldap**, welche die ermittelten Daten als JSON-Struktur beinhaltet.
286 286  
287 287  {{info}}
288 -Welche Daten die JSON-Struktur unter der **ldap** Eigenschaft beinhaltet, hängt maßgeblich von den Leserechten des LDAP-Accounts ab,
292 +Welche Daten die JSON-Struktur unter der **ldap** Eigenschaft beinhaltet, hängt maßgeblich von den Leserechten des LDAP-Accounts ab,
289 289  welcher die Nutzersuche im LDAP-System durchführt.
290 290  {{/info}}
291 291  
single_sign_on_kerberos_de.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.awa
Größe
... ... @@ -1,1 +1,0 @@
1 -57.6 KB
Inhalt
single_sign_on_kerberos_en.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.awa
Größe
... ... @@ -1,1 +1,0 @@
1 -53.1 KB
Inhalt
single_sign_on_ntlm_de.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.awa
Größe
... ... @@ -1,1 +1,0 @@
1 -54.5 KB
Inhalt
single_sign_on_ntlm_en.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.awa
Größe
... ... @@ -1,1 +1,0 @@
1 -50.7 KB
Inhalt
FCSnapshot27.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.gru
Größe
... ... @@ -1,0 +1,1 @@
1 +59.5 KB
Inhalt
ntlm.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.gru
Größe
... ... @@ -1,0 +1,1 @@
1 +70.1 KB
Inhalt
Copyright 2000-2024