Konfigurieren der LDAP-Authentifizierung
Einführung in die LDAP-Authentifizierung in ConSol CM
LDAP-Authentifizierung ist eine Authentifizierungsmethode, die eingesetzt werden kann, um die Identität von Benutzern im Web Client und Kontakten in CM/Track zu prüfen.
Konzepte, Begriffe und Definitionen
|
Konzept |
Andere Begriffe |
Definition |
|---|---|---|
|
LDAP |
|
Abkürzung von Lightweight Directory Access Protocol, Protokoll zur Verwaltung von Anmeldeinformationen für mehrere Applikationen |
| LDAPS |
LDAP über SSL, sicheres LDAP |
LDAP, das SSL für die Kommunikation verwendet |
Verfügbare Einstellungen
Grundlegende Aufgaben
Einrichten von LDAP für den Web Client
Setzen Sie die folgenden System-Properties in der Web Admin Suite, siehe System-Properties:
- authentication.method
LDAP - ldap.authentication
simple - ldap.basedn
Der Stammpfad in der LDAP-Baumstruktur, in der der Benutzer über die LDAP-ID gesucht wird, z. B. ou=accounts,dc=mycompany,dc=de. - ldap.initialcontextfactory
Dies ist eine vordefinierte globale Property. Der Wert sollte normalerweise com.sun.jndi.ldap.LdapCtxFactory sein. - ldap.password
Das Passwort für die Verbindung zum LDAP-Server zum Nachschlagen der Benutzer. Wird nur benötigt, wenn die Suche nicht anonym ausgeführt werden kann. - ldap.providerurl
Die komplette Adresse des LDAP-Servers im Format ldap[s]://host:port. Üblicherweise ist der Standardport 636 und der Port für den Globalen Katalog 3269. - ldap.searchattr
Suchattribut zum Nachschlagen eines Benutzers über seine LDAP-ID, z. B. uid. - ldap.userdn
Der LDAP-Benutzer für die Verbindung zum LDAP-Server zum Nachschlagen der Benutzer. Wird nur benötigt, wenn die Suche nicht anonym ausgeführt werden kann.
Einrichten von LDAP für CM/Track
Setzen Sie die folgenden System-Properties in der Web Admin Suite, siehe System-Properties:
Die LDAP-Server können mit folgenden System-Properties aus dem Modul cmas-core-security definiert werden.
{name} ist ein String, den Sie frei wählen können, um die LDAP-Server zu unterscheiden. Er muss immer angegeben werden, auch wenn nur ein LDAP-Server konfiguriert wird. Sie sollten einen einfachen String für {name} verwenden, der keine Schlüsselwörter wie internal oder external und keine Sonderzeichen enthält.
- cmas-core-security, contact.authentication.method
LDAP - ldap.contact.{name}.basedn
Der Stammpfad in der LDAP-Baumstruktur, in der der Kontakt über die LDAP-ID gesucht wird, z. B. ou=accounts,dc=mycompany,dc=de. - ldap.contact.{name}.password
Das Passwort für die Verbindung zum LDAP-Server zum Nachschlagen der Kontakte. Wird nur benötigt, wenn die Suche nicht anonym ausgeführt werden kann. - ldap.contact.{name}.providerurl
Die komplette Adresse des LDAP-Servers im Format ldap[s]://host:port. Üblicherweise ist der Standardport 636 und der Port für den Globalen Katalog 3269. - ldap.contact.{name}.searchattr
Suchattribut zum Nachschlagen eines Kontakts über seine LDAP-ID, z. B. uid. - ldap.contact.{name}.userdn
Der LDAP-Benutzer für die Verbindung zum LDAP-Server zum Nachschlagen der Kontakte. Wird nur benötigt, wenn die Suche nicht anonym ausgeführt werden kann.. - ldap.initialcontextfactory
Dies ist eine vordefinierte globale Property. Der Wert sollte normalerweise com.sun.jndi.ldap.LdapCtxFactory sein.
Diese System-Properties sind möglicherweise initial nicht in Ihrem CM-System vorhanden. Fügen Sie sie einfach manuell hinzu. Nach einer Änderung einer der obigen System-Properties ist kein Neustart des Servers erforderlich. Die Änderung wird für alle Cluster-Nodes übernommen. Der Platzhalter {name} ermöglicht die Definition von Konfigurationen für mehrere unterschiedliche LDAP-Server.
Authentifizierungsversuche gegen LDAP-Server finden bis zum ersten erfolgreichen Versuch statt, wobei die Reihenfolge der Server durch die Werte von {name} bestimmt wird (aufsteigende alphabetische Reihenfolge der Werte).
Erweiterte Aufgaben
Einrichten von LDAPS
Standardmäßig werden die Daten im Klartext übertragen, wenn ein LDAP-Client auf einen LDAP-Server zugreift. Wenn Sie möchten, dass der Benutzername und das Passwort verschlüsselt an den LDAP-Server übertragen werden, müssen Sie die LDAP-Authentifizierung mit LDAPS aufsetzen.
Sie müssen den Rechner des CM-Servers (Java) so konfigurieren, dass er Zertifikate verwenden kann. Eine Methode dafür ist im folgenden Abschnitt für einen Linux-Rechner beschrieben.
-
Rufen Sie das Zertifikat ab:
openssl s_client -connect dc2.mydomain.com:ldaps
-
Die Antwort enthält einen Abschnitt, der mit "---BEGIN CERTIFICATE " beginnt und mit "END CERTIFICATE ---" endet.
Kopieren Sie diesen Abschnitt in eine Datei, z. B. /tmp/certificate2_dc2_mydomain_com.txt -
Importieren Sie das Zertifikat in den Truststore des Rechners, z. B. /home/mydirectory/mytruststore
$JAVA_HOME/bin/keytool -import -alias <arbitrary> -trustcacerts -keystore /home/mydirectory/mytruststore -file/tmp/certificate2_dc2_mydomain_com.txt
Sie müssen ein Passwort eingeben (setzen). -
Fügen Sie den Truststore in die ConSol CM-Konfigurationsdatei unter JAVA_OPTS ein:
-Djavax.net.ssl.trustStore=/home/mydirectory/mytruststore -Djavax.net.ssl.trustStorePassword=<see above>