RTH_DE_EN_Einmalanmeldung - FORMCYCLE Wiki

author	version	line-number	content
1	Da Kerberos und NTLM jetzt im Einmalanmeldemenü zusammen sind, muss diese Seite in deutsch und englisch neu erstellt werden. Der Inhalt der beiden alten Seiten befindet sich erstmal noch hier:
2
3	{{content/}}
4
5	{{figure image="ntlm" width="300"/}}
6
7	NTLM wird für die Authentifizierung von Formularbenutzern verwendet. Ein typisches Einsatzszenario sind Formulare, die intern von Mitarbeitern eines Unternehmens aufgerufen werden. Über NTLM kann das Formular auf die Benutzerdaten des angemeldeten ActiveDirectory zugreifen.
8
9	{{info}}
10	NTLM ist nur verfügbar, wenn die Lizenz dies erlaubt.
11	{{/info}}
12
13	== NTLM nutzen ==
14
15	Mit diesem Schalter lässt sich die NTLM-Benutzerauthentifizierung für Formulare aktivieren bzw. deaktivieren
16
17	=== Mit {{fserver/}} synchronisieren ===
18
19	Wenn dieser Schalter aktiviert ist, wird beim Speichern der Einstellungen die aktuelle Konfiguration auf alle (erreichbaren) {{fserver number="plurar"/}} übertragen.
20
21	=== Domain-Controller Host ===
22
23	Host (FQN) des ActiveDirectory Controller für die NTLM-Authentifizierung eines Benutzers und die anschließende Ermittlung dessen Daten über LDAP.
24
25	{{code}}
26	Beispiel: domain.example.de
27	{{/code}}
28
29	== NTLM-Authentifizierung ==
30
31	Die folgenden Einstellungen sind für die Authentifizierung eines Benutzers mittels NTLM notwendig:
32
33	=== Hostname des Domain-Controller Hosts ===
34
35	Hostname des Active-Directory-Controller.
36
37	{{code}}
38	Beispiel: domain
39	{{/code}}
40
41	=== Windows-Domainname ===
42
43	Hier können je nach AD verschiedene Schreibweisen des Domainnamen verwendet werden.
44
45	{{code}}
46	Beispiel: example.de oder example0
47	{{/code}}
48
49	{{info}}
50	Hier muss der Domain-Name angegeben werden, zu denen die zu authentifizierenden Benutzerkonten gehören.
51	Dieser Domain-Name kann sich von der Domäne des Computer-Kontos unterscheiden (Dabei handelt es sich um den NetBIOS-Name des Computers und nicht den DNS-/FQDN-Name).
52
53	Der zu benutzende Windows-Domainname lässt sich beispielhaft ermitteln, indem man auf einen in der Domäne angemeldeten Client eine Windows Konsole öffnet (//Start / Ausführen / cmd//) und dort folgenden Befehl eingibt:
54	echo %userdomain%
55	{{/info}}
56
57	=== Computerkonto ===
58
59	Dieses Computerkonto muss die Berechtigung zu Nutzerverifizierung haben. Hierbei darf es sich nicht um ein Active-Directory Nutzerkonto handeln!
60
61	{{info}}
62	Ein Computer-Account ist am '$'-Zeichen im Domain-Namen erkennbar. z.B. example$@domain.de
63	{{/info}}
64
65	Beschreibung für die Vorgehensweise zur Erzeugung eines Computer-Accounts im //Active Directory Server// (externer Link): [[Creating a Computer Account for NTLM Authentication>>url:https://wiki.ca.com/display/GATEWAY83/Creating+a+Computer+Account+for+NTLM+Authentication\|\|rel="__blank" title="Creating a Computer Account for NTLM Authentication"]]
66
67	=== Computerkontopasswort ===
68
69	Passwort des Computerkontos
70
71	== LDAP-Benutzersuche ==
72
73	Die folgenden Einstellungen sind für eine Nutzersuche nach erfolgter NTLM-Authentifizierung notwendig:
74
75	=== Port ===
76
77	Der zu verwende Port für die Verbindung mit dem LDAP-Server zur Nutzersuche
78
79	=== SSL-Verbindung ===
80
81	Ermöglich das Aktivierung der SSL-verschlüsselten Kommunikation mit dem LDAP-Server
82
83	=== Verweis-Sprünge ===
84
85	Gibt die Anzahl der zu folgenden Verweis-Sprünge (Referrals) an. ein Wert von 0 deaktiviert das Folgen von Verweisen.
86
87	=== Nutzerkonto (mit Domainangabe) ===
88
89	Konto für die Benutzersuche innerhalb des LDAP-Servers. Dieses Konto muss entsprechende Rechte für eine Nutzersuche besitzen.
90
91	{{code}}
92	Beispiel: ldap@example.de
93	{{/code}}
94
95	=== Nutzerkontopasswort ===
96
97	Passwort des Nutzerkontos
98
99	=== BaseDN für Suche ===
100
101	LDAP BaseDN unter der die zu authentifizierten Benutzer gesucht werden sollen.
102
103	{{code}}
104	Beispiel: ou="users", dc="example", dc="de"
105	{{/code}}
106
107
108
109
110	== Einstellungen für Kerberos Authentifizierung ==
111
112	{{figure image="kerberos"}}
113	Nutzeroberfläche für die Einstellungen zu Kerberos. Nur verfügbar, wenn die Lizens dies erlaubt.
114	{{/figure}}
115
116	Kerberos wird für die Authentifizierung von Formularbenutzern verwendet. Ein typischen Einsatzszenario sind Formulare, die "intern" von Mitarbeitern eines Unternehmens aufgerufen werden. In einem nachgeordneten Schritt kann das Formular dann Benutzerdaten des angemeldeten Nutzers aus dem ActiveDirectory bereitstellen.
117
118	Kerberos muss als Lizenz-Option freigeschaltet sein!
119	Ist dies der Fall, können folgende Einstellungen bearbeitet werden:
120
121	=== Kerberos nutzen ===
122
123	Mit diesem Schalter lässt sich die Kerberos-Benutzerauthentifizierung für Formulare aktivieren/deaktivieren
124
125	=== Mit {{fserver/}} synchronisieren ===
126
127	Wenn dieser Schalter aktiviert ist, wird beim Speichern der Einstellungen die aktuelle Konfiguration auf alle (erreichbaren) {{fserver number="plural"/}} übertragen.
128
129	=== Nutzername ===
130
131	Windows Domain Account, welcher für den Zugriff auf das Key Distribution Center (KDC) benötigt wird, um den nachfolgenden Authentifizierungsprozess einzuleiten.
132	In den meisten Fällen ist dies ein User-Account aus dem AD, welcher als Service-Account fungiert und nicht zur Anmeldung an einer Workstation gedacht ist.
133
134	{{info}}
135	Es wird ein Nutzername mit Domainangabe (FQDN) benötigt, wenn in der krb5.conf Datei, unter dem Abschnitt //[libdefaults]//, kein default_realm definiert ist.
136	//Beispiel: user@EXCAMPLE.COM //
137	{{/info}}
138
139	=== Passwort ===
140
141	Passwort des o.g. Service-Accounts
142
143	=== Datei krb5.conf ===
144
145	Hier wird der Inhalt der krb5.conf Datei definiert, in welcher die Konfiguration für Kerberos festgelegt werden.
146	Unter anderem werden hier die vom System unterstützten Verschlüsselungsverfahren aufgeführt, sowie der aktuell zu verwendende Realm (Administrationsbereich) und deren Mapping zu einem KDC.
147
148	==== Dateistruktur ====
149
150	Die zu verwendende Schreibweise innerhalb der Datei orientiert sich an Windows INI-Dateien, das heißt, einzelne Abschnitte werden mit
151	einen Abschnittsnamen (in eckigen Klammern) versehen. Jeder Abschnitt enthält keine oder mehrere Zuordnungen,
152	die in folgender Form definiert werden können:
153
154	{{code language="java" title=""}}
155	foo = bar
156	{{/code}}
157
158	oder
159
160	{{code language="java" title=""}}
161	foobar = {
162	foo = bar
163	some = input
164	}
165	{{/code}}
166
167	==== Abschnittsnamen ====
168
169	* //[libdefaults]//: Enthält die Einstellungen die von der Kerberos V5-Bibliothek verwendet werden
170	* //[realms]//: Realm-spezifische Kontaktinformationen und Einstellungen
171	* //[domain_realm]// Definiert die Zuordnung von Server Host-Namen zu Kerberos Realms
172
173	===== [libdefaults] =====
174
175	Der Abschnitt //[libdefaults]// kann folgende Zuordnungen enthalten:
176
177	* default_realm: Definiert den standardmäßig zu verwendenden Kerberos Administrationsbereich.
178	* default_tkt_enctypes: Definiert eine Liste von unterstützten Sitzungsschlüssel-Verschlüsselungstypen, die der Client anfordern sollte, wenn ein AS (Authentication Server)-Request durchgeführt wird. Die Reihenfolge der einzelnen Typen entspricht ihrer Präferenz vom höchsten zum niedrigsten. Die Werte innerhalb der Liste können mit Komma oder Leerzeichen getrennt werden.
179	* default_tgs_enctypes: Definiert eine Liste von unterstützten Sitzungsschlüssel-Verschlüsselungstypen, die der Client anfordern sollte, wenn ein TGS (Ticket Granting Server)-Request durchgeführt wird. Die Reihenfolge der einzelnen Typen entspricht ihrer Präferenz vom höchsten zum niedrigsten. Die Werte innerhalb der Liste können mit Komma oder Leerzeichen getrennt werden.
180	* permitted_enctypes: Definiert alle Verschlüsselungstypen, die für den Einsatz in Sitzungsschlüssel-Verschlüsselung erlaubt sind.
181
182	Eine beispielhafte Konfiguration für den //[libdefaults]//-Abschnitt kann folgendermaßen aussehen:
183
184	{{code language="java" title=""}}
185	[libdefaults]
186	default_realm = EXAMPLE.COM
187	default_tkt_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 des3-cbc-sha1 arcfour-hmac-md5 camellia256-cts-cmac camellia128-cts-cmac des-cbc-crc des-cbc-md5 des-cbc-md4 rc4-hmac
188	default_tgs_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 des3-cbc-sha1 arcfour-hmac-md5 camellia256-cts-cmac camellia128-cts-cmac des-cbc-crc des-cbc-md5 des-cbc-md4 rc4-hmac
189	permitted_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 des3-cbc-sha1 arcfour-hmac-md5 camellia256-cts-cmac camellia128-cts-cmac des-cbc-crc des-cbc-md5 des-cbc-md4 rc4-hmac
190	{{/code}}
191
192	===== [realms] =====
193
194	Jeder Tag im Abschnitt //[realms]// ist der Name eines Kerberos-Administrationsbereichs (auch 'Realm' genannt). Der Wert der Variablen ist eine Auflistung von Zuordnungen, die die Eigenschaften eines bestimmten Realms definieren. Für jeden Realm können die folgenden Zuordnungen definiert werden:
195
196	* kdc: Definiert den Namen oder die Adresse eines Rechners auf dem ein KDC (Key Distribution Center) für diesen Administrationsbereich läuft (Meist ist dies der Server, unter dem das Active Directory erreichbar ist). Es kann eine optionale Port-Nummer, getrennt mit Doppelpunkt, angegeben werden.
197
198	Eine beispielhafte Konfiguration für den //[realms]//-Abschnitt kann folgendermaßen aussehen:
199
200	{{code language="java" title=""}}
201	[realms]
202	EXAMPLE.COM = {
203	kdc = domain.example.com
204	}
205	{{/code}}
206
207	===== [domain_realm] =====
208
209	Der //[domain_realm]// Abschnitt enthält eine Zuordnung von einem Domain-Namen oder den Hostnamen zu einem Kerberos-Realm-Namen. Der Tag-Name kann ein Host oder Domain-Name sein, wobei Domain-Namen mittels Punkt (.) als Vorzeichen gekennzeichnet sind. Als Wert wird der Name eines Kerberos-Realm für diesen bestimmten Host oder die Domäne erwartet. Host- oder Domain-Namen sollten klein geschrieben werden.
210
211	Eine beispielhafte Konfiguration für den //[domain_realm]//-Abschnitt kann folgendermaßen aussehen:
212
213	{{code language="java" title=""}}
214	[domain_realm]
215	.example.com = EXAMPLE.COM
216	{{/code}}
217
218	=== Datei login.conf ===
219
220	Hier wird der Inhalt der login.conf Datei definiert und damit welche Authentifizierungstechnologie für Client und Server zu verwenden ist.
221
222	Eine beispielhafte Konfiguration kann folgendermaßen aussehen:
223
224	{{code language="java" title=""}}
225	spnego-client {
226	com.sun.security.auth.module.Krb5LoginModule required;
227	};
228
229	spnego-server {
230	com.sun.security.auth.module.Krb5LoginModule required
231	refreshKrb5Config=true
232	storeKey=true
233	isInitiator=false;
234	};
235	{{/code}}
236
237	=== Client-Modulname ===
238
239	Der Name, welcher in der //login.conf// Datei für die Definition der Clients verwendet wird.
240
241	=== Name des Server-Moduls ===
242
243	Der Name, welcher in der //login.conf// Datei für die Definition des Servers verwendet wird.
244
245	{{error}}
246
247
248
249	Sollte es bei aktiviertem Kerberos vereinzelt oder dauerhaft zu Fehlern beim Formular-Aufruf kommen (HTTP-Status 400), so überschreitet das Kerberos-Ticket die standardmäßige Größenlimitierung des HTTP-Headers durch den Anwendungsserver (z.B. Tomcat). Eine Lösung bringt die Erhöhung dieser Limitierung welche [[hier>>doc:Main.Beschraenkung der HTTP-Header-Groesse aendern]] beschrieben wird.
250	{{/error}}
251
252	== LDAP Benutzersuche ==
253
254	Die nachfolgenden Einstellungen sind notwendig, um Benutzerinformationen vom authentifizierten Nutzer über LDAP (MS Active Directory) zu beziehen.
255	Die ermittelten Benutzer-Stammdaten stehen anschließend im Formular zur Verfügung.
256
257	=== Domain-Controller Host* ===
258
259	FQN (Full Qualified Name) und Port des Active-Directory Controllers.
260	Beispiel: domain.example.com Port: 389
261
262	=== SSL-Verbindung ===
263
264	Mit diesem Schalter lässt sich festlegen, ob SSL für den Kommunikation mit dem LDAP-Server verwendet werden soll.
265
266	=== Verweis-Sprünge* ===
267
268	Gibt die maximale Anzahl von durchzuführenden Verweis-Sprüngen (Referrels-Hops) auf dem LDAP-Server an.
269	Ein Wert von 0 deaktiviert ein Folgen von Verweisen.
270
271	=== Nutzer-Account (mit Domainangabe)* ===
272
273	Dieser Account muss das Recht haben, Suchanfragen (Benutzerobjekt) an das Active-Directory zu senden.
274
275	{{info}}
276	Es wird ein Nutzername mit Domainangabe (FQDN) benötigt.
277	//Beispiel: user@EXCAMPLE.COM //
278	{{/info}}
279
280	=== Nutzer-Account Passwort* ===
281
282	Passwort für den oben genannten Nutzer-Account.
283
284	=== BaseDn für Suche* ===
285
286	LDAP BaseDN unter der der authentifizierte Benutzer gesucht wird.
287	Beispiel: ou="intern", dc="example", dc="com"
288
289	== Ausgelesene LDAP-Nutzerdaten im Designer verarbeiten ==
290
291	Die zum authentifizierten Nutzer ermittelten Eigenschaften aus dem LDAP werden im XFC_METADATA-Objekt abgelegt und stehen dadurch im Formular zur Verfügung. Am JSON-Objekt currentUser befindet sich die Eigenschaft ldap, welche die ermittelten Daten als JSON-Struktur beinhaltet.
292
293	{{info}}
294	Welche Daten die JSON-Struktur unter der ldap Eigenschaft beinhaltet, hängt maßgeblich von den Leserechten des LDAP-Accounts ab,
295	welcher die Nutzersuche im LDAP-System durchführt.
296	{{/info}}
297
298	Das nachfolgende JS-Codeschnipsel zeigt einen Zugriff auf die LDAP-Eigenschaft //userPrincipalName// mittels JS im Designer:
299
300	{{code language="javascript" title=""}}
301	try {
302	// Auslesen der Property und Anzeige in einem Label
303	var elem = $('[name=txt1]');
304	var ldap = XFC_METADATA.currentUser.ldap;
305	if(ldap.hasOwnProperty('userPrincipalName')) {
306	elem.append(ldap.userPrincipalName);
307	}
308	} catch (err) {}
309	{{/code}}

1

Da Kerberos und NTLM jetzt im Einmalanmeldemenü zusammen sind, muss diese Seite in deutsch und englisch neu erstellt werden. Der Inhalt der beiden alten Seiten befindet sich erstmal noch hier:

NTLM wird für die Authentifizierung von Formularbenutzern verwendet. Ein typisches Einsatzszenario sind Formulare, die intern von Mitarbeitern eines Unternehmens aufgerufen werden. Über NTLM kann das Formular auf die Benutzerdaten des angemeldeten ActiveDirectory zugreifen.

8

9

10

NTLM ist nur verfügbar, wenn die Lizenz dies erlaubt.

== NTLM nutzen ==

Mit diesem Schalter lässt sich die NTLM-Benutzerauthentifizierung für Formulare aktivieren bzw. deaktivieren

16

17

=== Mit {{fserver/}} synchronisieren ===

18

19

Wenn dieser Schalter aktiviert ist, wird beim Speichern der Einstellungen die aktuelle Konfiguration auf alle (erreichbaren) {{fserver number="plurar"/}} übertragen.

20

21

=== Domain-Controller Host ===

22

23

Host (FQN) des ActiveDirectory Controller für die NTLM-Authentifizierung eines Benutzers und die anschließende Ermittlung dessen Daten über LDAP.

24

25

26

Beispiel: domain.example.de

27

28

29

== NTLM-Authentifizierung ==

30

31

Die folgenden Einstellungen sind für die Authentifizierung eines Benutzers mittels NTLM notwendig:

32

33

=== Hostname des Domain-Controller Hosts ===

34

35

Hostname des Active-Directory-Controller.

Beispiel: domain

=== Windows-Domainname ===

42

43

Hier können je nach AD verschiedene Schreibweisen des Domainnamen verwendet werden.

44

45

46

Beispiel: example.de oder example0

Hier muss der Domain-Name angegeben werden, zu denen die zu authentifizierenden Benutzerkonten gehören.

51

Dieser Domain-Name kann sich von der Domäne des Computer-Kontos unterscheiden (Dabei handelt es sich um den NetBIOS-Name des Computers und nicht den DNS-/FQDN-Name).

52

53

Der zu benutzende **Windows-Domainname** lässt sich beispielhaft ermitteln, indem man auf einen in der Domäne angemeldeten Client eine Windows Konsole öffnet (//Start / Ausführen / cmd//) und dort folgenden Befehl eingibt:

54

**echo %userdomain%**

55

56

57

=== Computerkonto ===

58

59

Dieses Computerkonto muss die Berechtigung zu Nutzerverifizierung haben. Hierbei darf es sich **nicht** um ein Active-Directory Nutzerkonto handeln!

60

61

62

Ein Computer-Account ist am '$'-Zeichen im Domain-Namen erkennbar. z.B. example$@domain.de

63

64

65

Beschreibung für die Vorgehensweise zur Erzeugung eines Computer-Accounts im //Active Directory Server// (externer Link): [[Creating a Computer Account for NTLM Authentication>>url:https://wiki.ca.com/display/GATEWAY83/Creating+a+Computer+Account+for+NTLM+Authentication||rel="__blank" title="Creating a Computer Account for NTLM Authentication"]]

66

67

=== Computerkontopasswort ===

68

69

Passwort des Computerkontos

70

71

== LDAP-Benutzersuche ==

72

73

Die folgenden Einstellungen sind für eine Nutzersuche nach erfolgter NTLM-Authentifizierung notwendig:

=== Port ===

Der zu verwende Port für die Verbindung mit dem LDAP-Server zur Nutzersuche

78

79

=== SSL-Verbindung ===

80

81

Ermöglich das Aktivierung der SSL-verschlüsselten Kommunikation mit dem LDAP-Server

82

83

=== Verweis-Sprünge ===

84

85

Gibt die Anzahl der zu folgenden Verweis-Sprünge (Referrals) an. ein Wert von 0 deaktiviert das Folgen von Verweisen.

86

87

=== Nutzerkonto (mit Domainangabe) ===

88

89

Konto für die Benutzersuche innerhalb des LDAP-Servers. Dieses Konto muss entsprechende Rechte für eine Nutzersuche besitzen.

90

91

92

Beispiel: ldap@example.de

93

94

95

=== Nutzerkontopasswort ===

96

97

Passwort des Nutzerkontos

98

99

=== BaseDN für Suche ===

100

101

LDAP BaseDN unter der die zu authentifizierten Benutzer gesucht werden sollen.

102

103

104

Beispiel: ou="users", dc="example", dc="de"

== Einstellungen für Kerberos Authentifizierung ==

111

112

113

Nutzeroberfläche für die Einstellungen zu Kerberos. Nur verfügbar, wenn die Lizens dies erlaubt.

114

115

116

Kerberos wird für die Authentifizierung von Formularbenutzern verwendet. Ein typischen Einsatzszenario sind Formulare, die "intern" von Mitarbeitern eines Unternehmens aufgerufen werden. In einem nachgeordneten Schritt kann das Formular dann Benutzerdaten des angemeldeten Nutzers aus dem ActiveDirectory bereitstellen.

117

118

Kerberos muss als Lizenz-Option freigeschaltet sein!

119

Ist dies der Fall, können folgende Einstellungen bearbeitet werden:

120

121

=== Kerberos nutzen ===

122

123

Mit diesem Schalter lässt sich die Kerberos-Benutzerauthentifizierung für Formulare aktivieren/deaktivieren

124

125

=== Mit {{fserver/}} synchronisieren ===

126

127

Wenn dieser Schalter aktiviert ist, wird beim Speichern der Einstellungen die aktuelle Konfiguration auf alle (erreichbaren) {{fserver number="plural"/}} übertragen.

=== Nutzername ===

Windows Domain Account, welcher für den Zugriff auf das Key Distribution Center (KDC) benötigt wird, um den nachfolgenden Authentifizierungsprozess einzuleiten.

132

In den meisten Fällen ist dies ein User-Account aus dem AD, welcher als Service-Account fungiert und nicht zur Anmeldung an einer Workstation gedacht ist.

133

134

135

Es wird ein Nutzername mit Domainangabe (FQDN) benötigt, wenn in der **krb5.conf** Datei, unter dem Abschnitt //[libdefaults]//, kein **default_realm** definiert ist.

136

//Beispiel: user@EXCAMPLE.COM //

=== Passwort ===

Passwort des o.g. Service-Accounts

142

143

=== Datei krb5.conf ===

144

145

Hier wird der Inhalt der **krb5.conf** Datei definiert, in welcher die Konfiguration für Kerberos festgelegt werden.

146

Unter anderem werden hier die vom System unterstützten Verschlüsselungsverfahren aufgeführt, sowie der aktuell zu verwendende Realm (Administrationsbereich) und deren Mapping zu einem KDC.

147

148

==== Dateistruktur ====

149

150

Die zu verwendende Schreibweise innerhalb der Datei orientiert sich an Windows INI-Dateien, das heißt, einzelne Abschnitte werden mit

151

einen Abschnittsnamen (in eckigen Klammern) versehen. Jeder Abschnitt enthält keine oder mehrere Zuordnungen,

152

die in folgender Form definiert werden können:

foo = bar

oder

foobar = {

foo = bar

some = input

}

==== Abschnittsnamen ====

168

169

* //[libdefaults]//: Enthält die Einstellungen die von der Kerberos V5-Bibliothek verwendet werden

170

* //[realms]//: Realm-spezifische Kontaktinformationen und Einstellungen

171

* //[domain_realm]// Definiert die Zuordnung von Server Host-Namen zu Kerberos Realms

172

173

===== [libdefaults] =====

174

175

Der Abschnitt //[libdefaults]// kann folgende Zuordnungen enthalten:

176

177

* **default_realm**: Definiert den standardmäßig zu verwendenden Kerberos Administrationsbereich.

178

* **default_tkt_enctypes**: Definiert eine Liste von unterstützten Sitzungsschlüssel-Verschlüsselungstypen, die der Client anfordern sollte, wenn ein AS (Authentication Server)-Request durchgeführt wird. Die Reihenfolge der einzelnen Typen entspricht ihrer Präferenz vom höchsten zum niedrigsten. Die Werte innerhalb der Liste können mit Komma oder Leerzeichen getrennt werden.

179

* **default_tgs_enctypes**: Definiert eine Liste von unterstützten Sitzungsschlüssel-Verschlüsselungstypen, die der Client anfordern sollte, wenn ein TGS (Ticket Granting Server)-Request durchgeführt wird. Die Reihenfolge der einzelnen Typen entspricht ihrer Präferenz vom höchsten zum niedrigsten. Die Werte innerhalb der Liste können mit Komma oder Leerzeichen getrennt werden.

180

* **permitted_enctypes**: Definiert alle Verschlüsselungstypen, die für den Einsatz in Sitzungsschlüssel-Verschlüsselung erlaubt sind.

181

182

Eine beispielhafte Konfiguration für den //[libdefaults]//-Abschnitt kann folgendermaßen aussehen:

[libdefaults]

default_realm = EXAMPLE.COM

187

default_tkt_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 des3-cbc-sha1 arcfour-hmac-md5 camellia256-cts-cmac camellia128-cts-cmac des-cbc-crc des-cbc-md5 des-cbc-md4 rc4-hmac

188

default_tgs_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 des3-cbc-sha1 arcfour-hmac-md5 camellia256-cts-cmac camellia128-cts-cmac des-cbc-crc des-cbc-md5 des-cbc-md4 rc4-hmac

189

permitted_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 des3-cbc-sha1 arcfour-hmac-md5 camellia256-cts-cmac camellia128-cts-cmac des-cbc-crc des-cbc-md5 des-cbc-md4 rc4-hmac

===== [realms] =====

Jeder Tag im Abschnitt //[realms]// ist der Name eines Kerberos-Administrationsbereichs (auch 'Realm' genannt). Der Wert der Variablen ist eine Auflistung von Zuordnungen, die die Eigenschaften eines bestimmten Realms definieren. Für jeden Realm können die folgenden Zuordnungen definiert werden:

195

196

* **kdc**: Definiert den Namen oder die Adresse eines Rechners auf dem ein KDC (Key Distribution Center) für diesen Administrationsbereich läuft (Meist ist dies der Server, unter dem das Active Directory erreichbar ist). Es kann eine optionale Port-Nummer, getrennt mit Doppelpunkt, angegeben werden.

197

198

Eine beispielhafte Konfiguration für den //[realms]//-Abschnitt kann folgendermaßen aussehen:

[realms]

EXAMPLE.COM = {

kdc = domain.example.com

}

===== [domain_realm] =====

208

209

Der //[domain_realm]// Abschnitt enthält eine Zuordnung von einem Domain-Namen oder den Hostnamen zu einem Kerberos-Realm-Namen. Der Tag-Name kann ein Host oder Domain-Name sein, wobei Domain-Namen mittels Punkt (.) als Vorzeichen gekennzeichnet sind. Als Wert wird der Name eines Kerberos-Realm für diesen bestimmten Host oder die Domäne erwartet. Host- oder Domain-Namen sollten klein geschrieben werden.

210

211

Eine beispielhafte Konfiguration für den //[domain_realm]//-Abschnitt kann folgendermaßen aussehen:

[domain_realm]

.example.com = EXAMPLE.COM

216

217

218

=== Datei login.conf ===

219

220

Hier wird der Inhalt der **login.conf** Datei definiert und damit welche Authentifizierungstechnologie für Client und Server zu verwenden ist.

221

222

Eine beispielhafte Konfiguration kann folgendermaßen aussehen:

spnego-client {

com.sun.security.auth.module.Krb5LoginModule required;

};

spnego-server {

com.sun.security.auth.module.Krb5LoginModule required

231

refreshKrb5Config=true

storeKey=true

isInitiator=false;

};

=== Client-Modulname ===

238

239

Der Name, welcher in der //login.conf// Datei für die Definition der Clients verwendet wird.

240

241

=== Name des Server-Moduls ===

242

243

Der Name, welcher in der //login.conf// Datei für die Definition des Servers verwendet wird.

Sollte es bei aktiviertem Kerberos vereinzelt oder dauerhaft zu Fehlern beim Formular-Aufruf kommen (HTTP-Status 400), so überschreitet das Kerberos-Ticket die standardmäßige Größenlimitierung des HTTP-Headers durch den Anwendungsserver (z.B. Tomcat). Eine Lösung bringt die Erhöhung dieser Limitierung welche [[hier>>doc:Main.Beschraenkung der HTTP-Header-Groesse aendern]] beschrieben wird.

250

251

252

== LDAP Benutzersuche ==

253

254

Die nachfolgenden Einstellungen sind notwendig, um Benutzerinformationen vom authentifizierten Nutzer über LDAP (MS Active Directory) zu beziehen.

255

Die ermittelten Benutzer-Stammdaten stehen anschließend im Formular zur Verfügung.

256

257

=== Domain-Controller Host* ===

258

259

FQN (Full Qualified Name) und Port des Active-Directory Controllers.

260

Beispiel: domain.example.com Port: 389

261

262

=== SSL-Verbindung ===

263

264

Mit diesem Schalter lässt sich festlegen, ob SSL für den Kommunikation mit dem LDAP-Server verwendet werden soll.

265

266

=== Verweis-Sprünge* ===

267

268

Gibt die maximale Anzahl von durchzuführenden Verweis-Sprüngen (Referrels-Hops) auf dem LDAP-Server an.

269

Ein Wert von 0 deaktiviert ein Folgen von Verweisen.

270

271

=== Nutzer-Account (mit Domainangabe)* ===

272

273

Dieser Account muss das Recht haben, Suchanfragen (Benutzerobjekt) an das Active-Directory zu senden.

274

275

276

Es wird ein Nutzername mit Domainangabe (FQDN) benötigt.

277

//Beispiel: user@EXCAMPLE.COM //

278

279

280

=== Nutzer-Account Passwort* ===

281

282

Passwort für den oben genannten Nutzer-Account.

283

284

=== BaseDn für Suche* ===

285

286

LDAP BaseDN unter der der authentifizierte Benutzer gesucht wird.

287

Beispiel: ou="intern", dc="example", dc="com"

288

289

== Ausgelesene LDAP-Nutzerdaten im Designer verarbeiten ==

290

291

Die zum authentifizierten Nutzer ermittelten Eigenschaften aus dem LDAP werden im **XFC_METADATA**-Objekt abgelegt und stehen dadurch im Formular zur Verfügung. Am JSON-Objekt **currentUser** befindet sich die Eigenschaft **ldap**, welche die ermittelten Daten als JSON-Struktur beinhaltet.

292

293

294

Welche Daten die JSON-Struktur unter der **ldap** Eigenschaft beinhaltet, hängt maßgeblich von den Leserechten des LDAP-Accounts ab,

295

welcher die Nutzersuche im LDAP-System durchführt.

296

297

298

Das nachfolgende JS-Codeschnipsel zeigt einen Zugriff auf die LDAP-Eigenschaft //userPrincipalName// mittels JS im Designer:

299

300