Open Thema mit Navigation

LDAP-Authentifizierung in ConSol CM

Einführung in die LDAP-Authentifizierung in ConSol CM

ConSol CM bietet LDAP-Authentifizierung für den Web Client als Standardfunktion an, d. h. die Passwörter der ConSol CM-Bearbeiter werden nicht in der ConSol CM-Datenbank verwaltet, sondern von einem LDAP-Server (wie z. B. ein Microsoft Active Directory-Server) abgerufen.

Wenn sich die Bearbeiter im ConSol CM Web Client anmelden möchten, geben sie ihren Benutzernamen und ihr Passwort ein und drücken die Eingabetaste. Im Hintergrund sendet der ConSol CM-Server eine Anfrage mit dem Benutzernamen und dem Passwort an den LDAP-Server und dieser überprüft, ob die Anmeldeinformationen gültig sind.

Wenn die Anmeldeinformationen gültig sind, wird die Genehmigung zurück an den ConSol CM-Server gesendet und der Bearbeiter wird im Web Client angemeldet.

Beachten Sie, dass die LDAP-Verbindung nur zur Authentifizierung des Benutzers (Bestätigung seiner Identität) verwendet wird. Die Autorisierung (d. h. die Zuweisung von Zugangsberechtigungen im System) erfolgt im Admin Tool über die Verwaltung der Bearbeiter und Rollen. Es muss für jeden Benutzer, der als Bearbeiter im System arbeiten soll, ein Bearbeiterkonto in der Bearbeiterverwaltung angelegt werden!

Der CM-Authentifizierungsprozess mittels LDAP ist in der folgenden Abbildung erklärt.

Abbildung 473: ConSol CM - LDAP-Authentifizierungsprozess

Konfigurieren des Systems für die LDAP-Authentifizierung

Es gibt zwei Möglichkeiten, um das ConSol CM-System für die Verwendung der LDAP-Authentifizierung zu konfigurieren:

1. Wählen Sie bei der Systemeinrichtung LDAP als Authentifizierungsmethode aus und geben Sie nach der Einrichtung die erforderlichen Parameter (System-Properties) ein.
2. Richten Sie das System mit der Standardauthentifizierungsmethode ein und wechseln Sie danach zu LDAP, d. h. geben Sie alle erforderlichen System-Properties später ein.

Konfigurieren des Systems bei der Ersteinrichtung

Bei der Systemeinrichtung können Sie LDAP als Authentifizierungsmethode auswählen. Dadurch wird die System-Property cmas-core-security, authentication.method (siehe unten) auf LDAP gesetzt. Es werden keine weiteren Parameter eingegeben. Sie müssen die LDAP-Parameter manuell setzen. Dies wird im nächsten Abschnitt erklärt.

Abbildung 474: ConSol CM-Systemeinrichtung - Authentifizierungsmethode LDAP

Wechseln zu LDAP als Authentifizierungsmethode in einem laufenden System

Abbildung 475: ConSol CM Admin Tool - System-Properties für die LDAP-Authentifizierung

Folgende Werte sind für die LDAP-Authentifizierung erforderlich (diese werden über System-Properties gesetzt, eine detaillierte Erklärung finden Sie in System-Properties):

• authentication.method
  LDAP
• ldap.authentication
  simple
• ldap.basedn
  Der DN (Distinguished Name) der LDAP-Baumstruktur, in der sich die erforderlichen Attribute befinden.
• ldap.initialcontextfactory
  Der Name der Java-Klasse für die Initial Context Factory der LDAP-Implementierung bei der Verwendung von LDAP-Authentifizierung. Dies sollte normalerweise com.sun.jndi.ldap.LdapCtxFactory sein.
• ldap.password
  Das Passwort für die Verbindung zum LDAP-Server zum Nachschlagen der Benutzer. Wird nur benötigt, wenn die Suche nicht anonym ausgeführt werden kann.

• ldap.userdn
  Der LDAP-Benutzer für die Verbindung zum LDAP-Server zum Nachschlagen der Benutzer. Wird nur benötigt, wenn die Suche nicht anonym ausgeführt werden kann.

  Möglicherweise sind die Angaben Benutzername/Passwort des Servers erforderlich, um auf den LDAP-Server zuzugreifen. Wenn Sie sich nicht sicher sind, können Sie dies zuerst mit einem LDAP-Browser überprüfen.

• ldap.providerurl
  Die komplette URL des LDAP-Servers:

  ldap://<HOSTNAME>:<LDAP PORT>

• ldap.searchattr
  Suchattribut zum Nachschlagen eines LDAP-Eintrags für ein CM-Login, d. h. das Attribut, das bei der Authentifizierung als Benutzername verwendet wird.

Verwaltung der Bearbeiterkonten für die LDAP-Authentifizierung

Konfigurieren Sie die Bearbeiterkonten in der Bearbeiterverwaltung im Admin Tool.

Wenn LDAP als Authentifizierungsmethode verwendet wird, ist es nicht möglich, das ConSol CM-Passwort in der Bearbeiterverwaltung zu setzen. Das Pop-up-Fenster für die Bearbeiterverwaltung hat die folgenden Felder, die für die LDAP-Authentifizierung relevant sind. Im Abschnitt Bearbeiterverwaltung finden Sie weitere Details bezüglich der anderen (für LDAP nicht relevanten) Datenfelder.

Abbildung 476: ConSol CM Admin Tool - Bearbeiterverwaltung

• Login
  Wenn keine LDAP ID angegeben wurde, ist dies der Benutzername für den LDAP-Authentifizierungsprozess, der im Knoten ldap.searchattr des LDAP-Verzeichnisses nachgeschlagen wird.
• LDAP ID
  Wenn Sie in ConSol CM spezielle Benutzernamen verwenden möchten, die nicht mit den im LDAP-Verzeichnis verwendeten Werten identisch sind, können Sie dieses Feld ausfüllen. Beim LDAP-Authentifizierungsprozess ist diese LDAP ID der Benutzername, der im Knoten ldap.searchattr des LDAP-Verzeichnisses nachgeschlagen wird.

Verwendung von LDAPS (LDAP über SSL)

Einleitung

Standardmäßig werden die Daten im Klartext übertragen, wenn ein LDAP-Client auf einen LDAP-Server zugreift. Wenn Sie möchten, dass der Benutzername und das Passwort verschlüsselt an den LDAP-Server übertragen werden, müssen Sie die LDAP-Authentifizierung mit LDAPS aufsetzen.

Vorbereitungen

Sie müssen den Rechner des CM-Servers (Java) so konfigurieren, dass er Zertifikate verwenden kann. Eine Methode dafür ist im folgenden Abschnitt für einen Linux-Rechner beschrieben.

1. Rufen Sie das Zertifikat ab:
   openssl s_client -connect dc2.mydomain.com:ldaps
2. Die Antwort enthält einen Abschnitt, der mit "---BEGIN CERTIFICATE " beginnt und mit "END CERTIFICATE ---" endet.
   Kopieren Sie diesen Abschnitt in eine Datei, z. B. /tmp/certificate2_dc2_mydomain_com.txt
3. Importieren Sie das Zertifikat in den Truststore des Rechners, z. B. /home/mydirectory/mytruststore
   $JAVA_HOME/bin/keytool -import -alias <arbitrary> -trustcacerts -keystore /home/mydirectory/mytruststore -file/tmp/certificate2_dc2_mydomain_com.txt
   Sie müssen ein Passwort eingeben (setzen).
4. Fügen Sie den Truststore in die ConSol CM-Konfigurationsdatei unter JAVA_OPTS ein:
   -Djavax.net.ssl.trustStore=/home/mydirectory/mytruststore -Djavax.net.ssl.trustStorePassword=<see above>

LDAPS-Konfiguration mit dem ConSol CM Admin Tool (System-Properties)

Konfigurieren Sie den ConSol CM-Server so, wie im folgenden Beispiel gezeigt:

• cmas-core-security;ldap.authentication = simple
• cmas-core-security;ldap.basedn;OU=myOU,DC=myDC
• cmas-core-security;ldap.initialcontextfactory = com.sun.jndi.ldap.LdapCtxFactory
• cmas-core-security;ldap.password = myLDAPpw
• cmas-core-security;ldap.searchattr = sAMAccountName
• cmas-core-security;ldap.userdn = myLDAP_UserDN

Je nach Konfiguration des LDAP-Servers, verwenden Sie einen der folgenden Werte für die Server-URL:

• Standard LDAPs port
  cmas-core-security;ldap.providerurl = ldaps://dc2.mydomain.com:636
• LDAPs port Global Catalogue
  cmas-core-security;ldap.providerurl = ldaps://dc2.mydomain.com:3269