Open Thema mit Navigation

CM.Track V1: Authentifizierungsmethoden für das Portal

Einführung in die Authentifizierungsmethoden in CM.Track

Kunden, die sich im ConSol CM-Portal (CM.Track) anmelden, verwenden dazu ihr Login und Passwort. Beides sind Datenobjektgruppenfelder in den Kontaktdaten.

Es gibt drei mögliche Authentifizierungsmethoden:

• Gegen die ConSol CM-Datenbank
  Diese Methode heißt Datenbank-Modus.
• Gegen einen LDAP-Server
  Diese Methode heißt LDAP-Modus.
• Gegen einen LDAP-Server und die ConSol CM-Datenbank
  Die Reihenfolge kann konfiguriert werden. Diese Methode heißt Gemischter Modus.

Definieren der Authentifizierungsmethode für CM.Track

Die Authentifizierungsmethode wird durch die System-Property cmas-core-security, contact.authentication.method bestimmt. Eine Änderung dieser Property erfordert keinen Neustart des Servers und wird für alle Cluster-Nodes übernommen.

Die möglichen Werte (siehe auch Abschnitt System-Properties) und ihr entsprechendes Systemverhalten sind:

• DATABASE
  Zuerst wird die Anmeldung über die Datenbank versucht, sofern die Unit ein Datenbankpasswort hat. d. h. wenn Login und Passwort in der ConSol CM-Datenbank gespeichert sind und damit von den ConSol CM-Bearbeitern oder indirekt von den Kunden selbst verwaltet werden, wenn diese ihr Passwort zurücksetzen. Der Kunde kann sein Passwort zurücksetzen, siehe Abschnitt Template zum Zurücksetzen des Passworts durch Kunden in CM.Track V1.
• LDAP
  Es wird eine Anmeldung über die verfügbaren LDAP-Server versucht, wenn eine LDAP-ID angegeben wurde, d. h. das Passwort ist im LDAP-Verzeichnis gespeichert und kann nicht über ConSol CM geändert werden, weder vom Kunden noch von einem Bearbeiter.
• LDAP,DATABASE
  Beim ersten Authentifizierungsversuch werden die verfügbaren LDAP-Server verwendet, sofern eine LDAP-ID angegeben ist. Sollte dieser fehlschlagen, wird eine Anmeldung über die Datenbank versucht, sofern die Unit (der Kunde) ein Datenbankpasswort hat.
• DATABASE,LDAP
  Zuerst wird die Anmeldung über die Datenbank versucht, sofern die Unit (Kunde) ein Datenbankpasswort hat. Wenn diese fehlschlägt, wird die Authentifizierung über einen verfügbaren LDAP-Server versucht, sofern eine LDAP-ID angegeben wurde.

Groß- und Kleinschreibung, Kommas und Leerzeichen werden bei den Werten ignoriert.

Authentifizierungsmethode DATABASE

System-Property für die Authentifizierungsmethode DATABASE

Setzen Sie die System-Property cmas-core-security, contact.authentication.method auf DATABASE (dies ist der Standardwert).

Datenobjektgruppenfelder für die Anmeldung im Kontakt

Es sind zwei Datenobjektgruppenfelder in den Kontaktdaten erforderlich:

• Login
• Passwort

Eine detaillierte Erklärung dazu finden Sie im Abschnitt CM.Track V1: Systemzugang für CM.Track-Benutzer (Kunden).

Authentifizierungsmethode LDAP

System-Property für die Authentifizierungsmethode LDAP

Setzen Sie die System-Property cmas-core-security, contact.authentication.method auf LDAP.

System-Properties zur Definition der LDAP-Server

Die LDAP-Server können mit folgenden System-Properties aus dem Modul cmas-core-security definiert werden.

{name} ist ein String, den Sie frei wählen können, um die LDAP-Server zu unterscheiden. Er muss immer angegeben werden, auch wenn nur ein LDAP-Server konfiguriert wird. Sie sollten einen einfachen String für {name} verwenden, der keine Schlüsselwörter wie internal oder external und keine Sonderzeichen enthält.

• ldap.initialcontextfactory
  Dies ist eine vordefinierte globale Property. Wenn sie nicht gesetzt ist, wird com.sun.jndi.ldap.LdapCtxFactory als Wert verwendet.
• ldap.contact.{name}.providerurl
  Der Wert der Property ist die Adresse des LDAP-Servers in der Form ldap[s]://host:port.
• ldap.contact.{name}.userdn
  Der Wert ist der Benutzer-DN, der verwendet wird, um den Kontakt-DN über die LDAP-ID nachzuschlagen. Wenn der Wert nicht gesetzt ist, wird ein anonymes Konto verwendet.
• ldap.contact.{name}.password
  Die Property enthält das Passwort, mit dem der Kontakt-DN über die LDAP-ID nachgeschlagen wird. Wenn der Wert nicht gesetzt ist, wird ein anonymes Konto verwendet.
• ldap.contact.{name}.basedn
  Dies ist der Stammpfad, in dem der Kontakt-DN über die LDAP-ID gesucht wird, z. B. ou=accounts,dc=consol,dc=de.
• ldap.contact.{name}.searchattr
  Der Wert dieser Property steht für das Attribut, mit dem der Kontakt-DN über die LDAP-ID gesucht wird, z. B. uid.

Diese System-Properties sind möglicherweise initial nicht in Ihrem CM-System vorhanden. Fügen Sie sie einfach manuell hinzu. Nach einer Änderung einer der obigen System-Properties ist kein Neustart des Servers erforderlich. Die Änderung wird für alle Cluster-Nodes übernommen. Der Platzhalter {name} ermöglicht die Definition von Konfigurationen für mehrere unterschiedliche LDAP-Server.

• ldap.initialcontextfactory
  Dies ist eine vordefinierte globale Property. Wenn sie nicht gesetzt ist, wird com.sun.jndi.ldap.LdapCtxFactory als Wert verwendet.

Authentifizierungsversuche gegen LDAP-Server finden bis zum ersten erfolgreichen Versuch statt, wobei die Reihenfolge der Server durch die Werte von {name} bestimmt wird (aufsteigende alphabetische Reihenfolge der Werte).

Datenobjektgruppenfeld für die Anmeldung im Kontakt

Wenn der LDAP-Modus eingesetzt werden soll, muss das Datenobjektgruppenfeld, das für den CM.Track-Benutzernamen (Login) verwendet wird, neben der Annotation username = true eine zusätzliche Annotation haben:

• ldapid

  

  Abbildung 581: ConSol CM Admin Tool - Datenobjektgruppenfeld für die LDAP-Authentifizierung von CM.Track-Benutzern

  

  Abbildung 582: ConSol CM Web Client - Feld (rot) für die LDAP-ID in den Kontaktdaten

Gemischte Authentifizierungsmethode

System-Property für die gemischte Authentifizierungsmethode

Setzen Sie die System-Property cmas-core-security, contact.authentication.method entsprechend der gewünschten Reihenfolge der Authentifizierungsinstanzen:

• LDAP,DATABASE
• DATABASE,LDAP

Das CM-System kontaktiert zuerst die Instanz, die an erster Stelle steht, und danach die zweite Instanz. Wenn die Authentifizierungsmethode für Kontakte zum Beispiel auf LDAP,DATABASE gesetzt ist, und der Kunde (Kontakt) ein Passwort verwendet, das nur in der Datenbank gültig ist, ist die Anmeldung erfolgreich.

Im server.log wird dann folgende Meldung angezeigt:

LDAP login failed: [LDAP: error code 49 - Invalid Credentials]; nested exception is javax.naming.AuthenticationException: [LDAP: error code 49 - Invalid Credentials]

System-Properties zur Definition der LDAP-Server

Siehe entsprechenden Absatz im Abschnitt Authentifizierungsmethode LDAP: System-Properties zur Definition der LDAP-Server.

Datenobjektgruppenfeld für die Anmeldung im Kontakt

Siehe entsprechenden Absatz im Abschnitt Authentifizierungsmethode LDAP: LDAP-ID.

Logging aller LDAP-Anmeldeversuche in CM.Track

Alle aufgetretenen LDAP-Fehler werden ohne Stack Trace von Loggern mit folgendem Präfix protokolliert:

• com.consol.cmas.core.security.contact

Der Stack Trace von LDAP-Fehlern wird nicht protokolliert, da die Log-Dateien ansonsten mit Details zu fehlgeschlagenen Anmeldeversuchen auf dem ersten LDAP-Server vollgeschrieben würden, obwohl die darauf folgende Anmeldung beim zweiten LDAP-Server erfolgreich war.

Verwendung von LDAPs zur Authentifizierung

Die LDAPS-Authentifizierung für CM.Track folgt dem gleichen Prinzip wie die Verwendung von LDAPs für die Authentifizierung im ConSol CM Web Client. Siehe Abschnitt Verwendung von LDAPS (LDAP über SSL).