Tipps & Tricks - Gemischte Authentifizierung
Im
Modul Benutzer können Sie
über das
Hauptmenü Benutzer/Konfiguration/Authentifizierung
verschiedene Authentifizierungs-Methoden für das Portal einstellen:
- Intrexx Authentifizierung
- Single-Sign-On (Windows / ADS)
- LDAP-Authentifizierung
Die Beschreibung der Einstellungen im entsprechenden Dialog finden Sie
hier.
Die Intrexx-Authentifizierung wird verbreitet in Extranet-Situationen verwendet.
Die Single-Sign-On(SSO)–Windows-Authentifizierung wird weitgehend für Intranets verwendet.
Die LDAP-Authentifizierung wird prinzipiell für Extranets eingesetzt.
Es gibt Szenarios, in denen die Anforderungen an die Authentifizierung nicht mit nur einer Methode
erfüllt werden können. Die gemischte Authentifizierung bietet mehrfache Authentifizierungs-Methoden an.
Mögliche Szenarien sind:
-
Mehrere Benutzer teilen eine Workstation in einem Intranet.
Lösung: SSO und LDAP-Authentifizierung, oder SSO und Intrexx-Authentifizierung.
-
Interne Benutzer greifen mit verschiedenen Methoden von internen als auch externen Standorten aus auf das Portal zu.
Lösung: SSO und LDAP- oder Intrexx-Authentifizierung.
-
Externe und interne Benutzer greifen von internen und externen Standorten aus auf das Portal zu.
Lösung: SSO und LDAP- oder Intrexx-Authentifizierung.
-
Ein Extranet, in dem interne Benutzer für den Zugriff auf das Portal ihre Active-Directory-Anmeldedaten verwenden.
Lösung: LDAP und Intrexx-Authentifizierung.
Anpassungen
Die Einstellungen müssen in der Webserver-Konfiguration von IIS- bzw. Tomcat
angepasst werden. Unser erstes Beispiel zeigt die Anpassung für IIS. Unter Umständen kann auch die Einrichtung eines
Reverse-Proxy bzw. die Überarbeitung seiner Konfiguration erforderlich sein. Außerdem müssen diese
beiden Dateien, die Sie im
Portalverzeichnis /internal/cfg finden,
angepasst werden:
Beispiel om.cfg file
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<authentication anonymous="05CE8CE3035924F7D3088895F1D87DADD65CFAE4>
<binding scope="odataservice" auth-type="IntegratedAuthClient"/>
<binding scope="web" auth-type="MyDemoAuth"/>
<binding scope="documentintegration" auth-type="IntegratedAuth"/>
<binding scope="client" auth-type="IntegratedAuthClient"/>
<binding scope="webservice" auth-type="IntegratedAuthClient"/>
<webserver-configuration plain-text-auth="false" integrated-auth="true" insecure-basic="false"/>
<mobile-devices plain-text-auth="never"/>
</authentication>
<security pwd-dictionary="....."/>
<organization default-container-guid="...."/>
</configuration>
Beispiel zusätzlicher Abschnitt für die Datei LucyAuth.cfg
MyDemoAuth
{
de.uplanet.lucy.server.auth.module.integrated.IntegratedLoginModule sufficient
debug=false;
de.uplanet.lucy.server.auth.module.ldap.LdapBindLoginModule sufficient
java.naming.provider.url="ldap://directoryserver.example.org:389"
java.naming.security.authentication="simple"
java.naming.security.principal="$[DN]"
debug=false;
de.uplanet.lucy.server.auth.module.intrexx.IntrexxLoginModule sufficient
debug=false;
de.uplanet.lucy.server.auth.module.anonymous.AnonymousLoginModule sufficient
debug=false;
};
Anpassung der IIS-Konfiguration
Die hier gezeigte Lösung verwendet eine alternative URL für die zweite Authentifizierungs-Methode
(hier die Intrexx-Authentifizierung). In diesem Beispiel lautet die Portal-URL
demo8, und die alternative URL
demo8_2.
Die Konfiguration mit nur einer URL würde eine zusätzliche Netzwerk-Karte im
Intrexx Portal Server bzw. die Virtualisierung der vorhandenen Netzwerk-Karte erfordern.
Richten Sie die alternative URL im IIS über das Kontextmenü
Anwendung hinzufügen
der
Default Web Site ein.
Die beiden Beispiel-Anwendungen haben denselben
physikalischen Pfad -
Portalverzeichnis/external/htmlroot.
ASP-Konfiguration für beide Website-URLs
Öffnen Sie die ASP-Eigenschaften von
demo8 mit einem Doppelklick auf
Eigenschaften für ASP-Anwendungen konfigurieren.
Setzen Sie hier die Eigenschaft
Enable Parent Paths = True.
Wiederholen Sie diese Änderung auch bei
demo8_2.
Authentifizierungseinstellungen für die Portal-URL demo8: SSO
Öffnen Sie die Authentifizierungseinstellungen von
demo8 mit einem Doppelklick auf
Authentifizierungseinstellungen für Sites und Anwendungen konfigurieren.
Setzen Sie hier die Einstellungen
- Anonyme Authentifizierung: Deaktiviert
- ASP.NET Identitätswechsel: Deaktiviert
- Windows-Authentifizierung: Aktiviert - HTTP 401 Abfrage
Authentifizierungseinstellungen für die alternative URL demo8_2: Intrexx-Anmeldung
Öffnen Sie die Authentifizierungseinstellungen von
demo8_2 mit einem Doppelklick auf
Authentifizierungseinstellungen für Sites und Anwendungen konfigurieren.
Setzen Sie hier die Einstellungen
- Anonyme Authentifizierung: Aktiviert
- ASP.NET Identitätswechsel: Deaktiviert
- Windows-Authentifizierung: Deaktiviert
Wenn alle Einstellungen gesetzt sind, muss der
Portal-Dienst neu gestartet werden.
Konfiguration mit LDAP und Intrexx-Authentifizierung
Wenn die Authentifizierung-Methoden LDAP und Intrexx-Authentifizierung angeboten werden sollen,
müssen ebenfalls die Dateien
LucyAuth.cfg und
om.cfg bearbeitet werden.
Die Datei
LucyAuth.cfg muss wie folgt bearbeitet werden:
MyDemoAuth2
{
de.uplanet.lucy.server.auth.module.ldap.LdapBindLoginModule sufficient
java.naming.provider.url="ldap://directoryserver.example.org:389"
java.naming.security.authentication="simple"
java.naming.security.principal="$[DN]"
debug=false;
de.uplanet.lucy.server.auth.module.intrexx.IntrexxLoginModule sufficient
debug=false;
de.uplanet.lucy.server.auth.module.anonymous.AnonymousLoginModule sufficient
debug=false;
};
Die Verwendung einer sicheren Verbindung (z.B. LDAP) ist hier empfohlen. Dazu muss zunächst das
LDAP-Zertifikat in das Portal importiert
werden. Ändern Sie außerdem die Zeile
java.naming.provider.url="ldap://directoryserver.example.org:389"
im MyDemoAuth2-Abschnitt um in
java.naming.provider.url="ldaps://directoryserver.example.org:636"
Die Datei
om.cfg muss wie folgt angepasst werden:
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<authentication anonymous="05CE8CE3035924F7D3088895F1D87DADD65CFAE4">
<binding scope="web" auth-type="MyDemoAuth2"/>
<binding scope="client" auth-type="IntrexxAuth"/>
<binding scope="webservice" auth-type="IntrexxAuth"/>
<binding scope="odataservice" auth-type="ODataAuth"/>
<binding scope="documentintegration" auth-type="IntrexxAuth"/>
<webserver-configuration plain-text-auth="false" integrated-auth="false"/>
<mobile-devices plain-text-auth="never"/>
</authentication>
<security/>
<organization default-container-guid="..." default-distlist-guid="..."/>
</configuration>
Auch hier muss, wenn alle Änderungen durchgeführt sind, der
Portal-Dienst neu gestartet werden.