JUST SOCIAL kann auch Single-Sign-On. Im folgenden befindet sich eine kurze Übersicht mit den Voraussetzungen für SSO über Kerberos.
Nachdem das keytab-File erzeugt ist könnt ihr über das Debian Paket just-import-ad JUST für SSO konfigurieren.
Allgemeine Voraussetzungen
Es muss ein NTP Dienst verwendet werden, da die Uhrzeit auf allen Servern und Clients nicht mehr als 5 Minuten abweichen darf.
Voraussetzungen für den/die AD Server
- Mindestens Windows Server 2003 SP1
- Für das Server Betriebssystem aktuellste ktpass Version mit Unterstützung für rc4-hmac-nt Verschlüsselung (einige Versionen von ktpass unterstützen nur DES Verschlüsselung)
- Keine Umlaute oder Sonderzeichen in den Usernamen
- Domänenlevel muss 2003 oder neuer sein
- Falls ein Proxy Server vorhanden ist muss die JUST SOCIAL Url als Proxy Ausnahme bei den Clients konfiguriert werden
- Für jede URL über die JUST SOCIAL aufgerufen wird muss ein Kerberos Key(inkl AD User) samt zur URL passenden SPN erstellt werden.
- Das Kennwort von dem AD User, für den der Kerberos Key erzeugt wurde muss im AD auf “Kennwort läuft nie ab” gesetzt werden
- Sofern das Kennwort geändert wird, muss auch ein neuer Kerberos Key erzeugt werden
Voraussetzungen für den Client
Folgende Einstellungen müssen aktiviert sein:
Internet Explorer (Extras -> Internetoptionen)
- Die URL von JUST SOCIAL muss zu den Intranet Sites hinzugefügt werden
- In den Einstellungen der Intranet Zone muss folgender Haken aktiviert sein: “Automatisches Anmelden nur in der Intranetzone”
- Unter dem Reiter “Erweitert” -> “Sicherheit” muss folgender Haken aktiviert sein: “Integrierte Windows Authentifizierung aktivieren”
- Kompatibiliätsmodus zumindest für JUST SOCIAL ausschalten
Mozilla Firefox (about:config)
- In den Firefox Einstellungen (about:config) muss die JUST SOCIAL URL in das Feld “network.negotiate-auth.trusted-uris” eingetragen werden
Auf AD-Server Keytab-File generieren
Auf dem AD-Server muss mittels ktpass.exe das Keytab-File erstellt werden:
Der AD User muss vor dem Erstellen des Keytab Files jedes mal frisch angelegt werden damit die kvno immer 3 ist.
Aufbau des keytab-Befehls:
C:\>ktpass -princ HTTP/<juco-url>@<NT-DNS-REALM-NAME> -mapuser <account>@<NT-DNS-REALM-NAME> -crypto rc4-hmac-nt -ptype KRB5_NT_SRV_HST -pass <PASSWORT> -out c:\kerberos.keytab
Als Parameter werden folgende Daten benötigt:
<juco-url>: FQDN des Web/Application-Servers, z.B. cloud.just.social
(immer klein geschrieben)
<NT-DNS-REALM-NAME>: AD-Domänen-Name (immer komplett groß geschrieben)
<Account>: Angelegter Account im AD, z.B. justconnect (immer klein geschrieben)
<PASSWORT>: Passwort des angelegten AD-Accounts
Beispiel:
C:\>ktpass -princ HTTP/cloud.just.social@JUSTSOFTWAREAG.LOCAL -mapuser
justconnect@JUSTSOFTWAREAG.LOCAL -crypto rc4-hmac-nt -ptype KRB5_NT_SRV_HST -pass myPassword - out c:\kerberos.keytab
Das Keytab-File muss auf dem JUST Server unter folgendem Pfad abgelegt werden:
/home/justsoftware/justconnect_conf/kerberos.keytab
Fehlerbehebung
Sollte SSO auf Anhieb nicht funktionieren kann das Script
/home/justsoftware/bin/check_sso_configuration.sh
die aktuelle Konfiguration samt Keytab File überprüfen und bei der Fehlerbehebung helfen.
Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.