Konfigurieren der LDAP-Authentifizierung
Einführung in die LDAP-Authentifizierung in ConSol CM
LDAP-Authentifizierung ist eine Authentifizierungsmethode, die eingesetzt werden kann, um die Identität von Benutzern im Web Client und Kontakten in CM/Track zu prüfen.
Konzepte, Begriffe und Definitionen
|
Konzept |
Andere Begriffe |
Definition |
|---|---|---|
|
LDAP |
|
Abkürzung von Lightweight Directory Access Protocol, Protokoll zur Verwaltung von Anmeldeinformationen für mehrere Applikationen |
|
LDAPS |
LDAP über SSL, sicheres LDAP |
LDAP, das SSL für die Kommunikation verwendet |
Grundlegende Aufgaben
Einrichten von LDAP für den Web Client
Der LDAP-Server kann mit den folgenden System-Properties aus dem Modul cmas-core-security definiert werden.
Der Platzhalter {name} ermöglicht es, Konfigurationen für mehrere verschiedene LDAP-Server zu definieren. Er muss immer vorhanden sein, auch wenn Sie nur einen LDAP-Server konfigurieren. Verwenden Sie einen einfachen String, der keine Schlüsselwörter wie internal oder external und keine Sonderzeichen enthält.
Es werden Authentifizierungsversuche bei den LDAP-Servern bis zum ersten Erfolg gemacht, beginnend mit dem ersten Server in aufsteigender alphabetischer Reihenfolge.
Setzen Sie die folgenden System-Properties in der Web Admin Suite, siehe System-Properties:
- engineer.authentication.method
LDAP - ldap.engineer.{name}.basedn
Der Stammpfad in der LDAP-Baumstruktur, in der der Benutzer über die LDAP-ID gesucht wird, z. B. ou=accounts,dc=mycompany,dc=de. - ldap.initialcontextfactory
Dies ist eine vordefinierte globale Property. Der Wert sollte normalerweise com.sun.jndi.ldap.LdapCtxFactory sein. - ldap.engineer.{name}.password
Das Passwort für die Verbindung zum LDAP-Server zum Nachschlagen der Benutzer. Wird nur benötigt, wenn die Suche nicht anonym ausgeführt werden kann. - ldap.engineer.{name}.providerurl
Die komplette Adresse des LDAP-Servers im Format ldap[s]://host:port. Üblicherweise ist der Standardport 636 und der Port für den Globalen Katalog 3269. - ldap.engineer.{name}.searchattr
Suchattribut zum Nachschlagen eines Benutzers über seine LDAP-ID, z. B. uid. - ldap.engineer.{name}.userdn
Der LDAP-Benutzer für die Verbindung zum LDAP-Server zum Nachschlagen der Benutzer. Wird nur benötigt, wenn die Suche nicht anonym ausgeführt werden kann.
Einrichten von LDAP für CM/Track
Die LDAP-Server können mit folgenden System-Properties aus dem Modul cmas-core-security definiert werden.
Der Platzhalter {name} ermöglicht es, Konfigurationen für mehrere verschiedene LDAP-Server zu definieren. Er muss immer vorhanden sein, auch wenn Sie nur einen LDAP-Server konfigurieren. Verwenden Sie einen einfachen String, der keine Schlüsselwörter wie internal oder external und keine Sonderzeichen enthält.
Es werden Authentifizierungsversuche bei den LDAP-Servern bis zum ersten Erfolg gemacht, beginnend mit dem ersten Server in aufsteigender alphabetischer Reihenfolge.
Setzen Sie die folgenden System-Properties in der Web Admin Suite, siehe System-Properties:
- cmas-core-security, contact.authentication.method
LDAP - ldap.contact.{name}.basedn
Der Stammpfad in der LDAP-Baumstruktur, in der der Kontakt über die LDAP-ID gesucht wird, z. B. ou=accounts,dc=mycompany,dc=de. - ldap.contact.{name}.password
Das Passwort für die Verbindung zum LDAP-Server zum Nachschlagen der Kontakte. Wird nur benötigt, wenn die Suche nicht anonym ausgeführt werden kann. - ldap.contact.{name}.providerurl
Die komplette Adresse des LDAP-Servers im Format ldap[s]://host:port. Üblicherweise ist der Standardport 636 und der Port für den Globalen Katalog 3269. - ldap.contact.{name}.searchattr
Suchattribut zum Nachschlagen eines Kontakts über seine LDAP-ID, z. B. uid. - ldap.contact.{name}.userdn
Der LDAP-Benutzer für die Verbindung zum LDAP-Server zum Nachschlagen der Kontakte. Wird nur benötigt, wenn die Suche nicht anonym ausgeführt werden kann.. - ldap.initialcontextfactory
Dies ist eine vordefinierte globale Property. Der Wert sollte normalerweise com.sun.jndi.ldap.LdapCtxFactory sein.
Diese System-Properties sind möglicherweise initial nicht in Ihrem CM-System vorhanden. Fügen Sie sie einfach manuell hinzu. Nach einer Änderung einer der obigen System-Properties ist kein Neustart des Servers erforderlich. Die Änderung wird für alle Cluster-Nodes übernommen.
Erweiterte Aufgaben
Einrichten von LDAPS
Standardmäßig werden die Daten im Klartext übertragen, wenn ein LDAP-Client auf einen LDAP-Server zugreift. Wenn Sie möchten, dass der Benutzername und das Passwort verschlüsselt an den LDAP-Server übertragen werden, müssen Sie die LDAP-Authentifizierung mit LDAPS aufsetzen.
Sie müssen den Rechner des CM-Servers (Java) so konfigurieren, dass er Zertifikate verwenden kann. Eine Methode dafür ist im folgenden Abschnitt für einen Linux-Rechner beschrieben.
-
Rufen Sie das Zertifikat ab:
openssl s_client -connect dc2.mydomain.com:ldaps
-
Die Antwort enthält einen Abschnitt, der mit "---BEGIN CERTIFICATE " beginnt und mit "END CERTIFICATE ---" endet.
Kopieren Sie diesen Abschnitt in eine Datei, z. B. /tmp/certificate2_dc2_mydomain_com.txt -
Importieren Sie das Zertifikat in den Truststore des Rechners, z. B. /home/mydirectory/mytruststore
$JAVA_HOME/bin/keytool -import -alias <arbitrary> -trustcacerts -keystore /home/mydirectory/mytruststore -file/tmp/certificate2_dc2_mydomain_com.txt
Sie müssen ein Passwort eingeben (setzen). -
Fügen Sie den Truststore in die ConSol CM-Konfigurationsdatei unter JAVA_OPTS ein:
-Djavax.net.ssl.trustStore=/home/mydirectory/mytruststore -Djavax.net.ssl.trustStorePassword=<see above>