Einmalanmeldung - FORMCYCLE Wiki

1

Die //Einmalanmeldung// für {{smallcaps}}Ntlm{{/smallcaps}} und Kerberos ist ein kostenpflichtiges {{formcycle/}} Zusatzmodul.

2

Nutzeroberfläche für die Einstellungen zu {{smallcaps}}Ntlm{{/smallcaps}}. Sie ist nur verfügbar, wenn die Lizenz dies erlaubt.

7

8

9

{{smallcaps}}Ntlm{{/smallcaps}} wird für die Authentifizierung von Formularbenutzern verwendet. Ein typisches Einsatzszenario sind Formulare, die intern von Mitarbeitern eines Unternehmens aufgerufen werden. Über {{smallcaps}}Ntlm{{/smallcaps}} kann das Formular auf die Benutzerdaten des angemeldeten ActiveDirectory zugreifen.

10

11

12

{{smallcaps}}Ntlm{{/smallcaps}} ist nur verfügbar, wenn die Lizenz dies erlaubt.

== NTLM nutzen ==

Mit diesem Schalter lässt sich die {{smallcaps}}Ntlm{{/smallcaps}}-Benutzerauthentifizierung für Formulare aktivieren bzw. deaktivieren

18

19

=== Mit {{fserver/}} synchronisieren ===

20

21

Wenn dieser Schalter aktiviert ist, wird beim Speichern der Einstellungen die aktuelle Konfiguration auf alle (erreichbaren) {{fserver number="plurar"/}} übertragen.

22

23

=== Domain-Controller Host ===

24

25

Host (FQN) des ActiveDirectory Controller für die {{smallcaps}}Ntlm{{/smallcaps}}-Authentifizierung eines Benutzers und die anschließende Ermittlung dessen Daten über {{smallcaps}}Ldap{{/smallcaps}}.

26

27

28

Beispiel: domain.example.de

29

30

31

== NTLM-Authentifizierung ==

32

33

Die folgenden Einstellungen sind für die Authentifizierung eines Benutzers mittels {{smallcaps}}Ntlm{{/smallcaps}} notwendig:

34

35

=== Hostname des Domain-Controller Hosts ===

36

37

Hostname des Active-Directory-Controller.

Beispiel: domain

=== Windows-Domainname ===

44

45

Hier können je nach AD verschiedene Schreibweisen des Domainnamen verwendet werden.

46

47

48

Beispiel: example.de oder example0

Hier muss der Domain-Name angegeben werden, zu denen die zu authentifizierenden Benutzerkonten gehören.

53

Dieser Domain-Name kann sich von der Domäne des Computer-Kontos unterscheiden (Dabei handelt es sich um den NetBIOS-Name des Computers und nicht den DNS-/FQDN-Name).

54

55

Der zu benutzende **Windows-Domainname** lässt sich beispielhaft ermitteln, indem man auf einen in der Domäne angemeldeten Client eine Windows Konsole öffnet (//Start / Ausführen / cmd//) und dort folgenden Befehl eingibt:

56

**echo %userdomain%**

57

58

59

=== Computerkonto ===

60

61

Dieses Computerkonto muss die Berechtigung zu Nutzerverifizierung haben. Hierbei darf es sich **nicht** um ein Active-Directory Nutzerkonto handeln!

62

63

64

Ein Computer-Account ist am '$'-Zeichen im Domain-Namen erkennbar. z.B. example$@domain.de

65

66

67

Beschreibung für die Vorgehensweise zur Erzeugung eines Computer-Accounts im //Active Directory Server// können wir aktuell nicht liefern und muss in der entsprechenden Dokumentation von externen Quellen bezogen werden.

68

69

=== Computerkontopasswort ===

70

71

Passwort des Computerkontos

72

73

== LDAP-Benutzersuche ==

74

75

Die folgenden Einstellungen sind für eine Nutzersuche nach erfolgter {{smallcaps}}Ntlm{{/smallcaps}}-Authentifizierung notwendig:

=== Port ===

Der zu verwende Port für die Verbindung mit dem {{smallcaps}}Ldap{{/smallcaps}}-Server zur Nutzersuche

80

81

=== SSL-Verbindung ===

82

83

Ermöglich das Aktivierung der SSL-verschlüsselten Kommunikation mit dem {{smallcaps}}Ldap{{/smallcaps}}-Server.

84

85

=== Verweis-Sprünge ===

86

87

Gibt die Anzahl der zu folgenden Verweis-Sprünge (Referrals) an. ein Wert von 0 deaktiviert das Folgen von Verweisen.

88

89

=== Nutzerkonto (mit Domainangabe) ===

90

91

Konto für die Benutzersuche innerhalb des {{smallcaps}}Ldap{{/smallcaps}}-Servers. Dieses Konto muss entsprechende Rechte für eine Nutzersuche besitzen.

92

93

94

Beispiel: ldap@example.de

95

96

97

=== Nutzerkontopasswort ===

98

99

Passwort des Nutzerkontos

100

101

=== BaseDN für Suche ===

102

103

{{smallcaps}}Ldap{{/smallcaps}} BaseDN unter der die zu authentifizierten Benutzer gesucht werden sollen.

104

105

106

Beispiel: ou="users", dc="example", dc="de"

107

108

109

== Einstellungen für Kerberos Authentifizierung ==

110

111

112

Nutzeroberfläche für die Einstellungen zu Kerberos. Nur verfügbar, wenn die Lizens dies erlaubt.

113

114

115

Kerberos wird für die Authentifizierung von Formularbenutzern verwendet. Ein typischen Einsatzszenario sind Formulare, die "intern" von Mitarbeitern eines Unternehmens aufgerufen werden. In einem nachgeordneten Schritt kann das Formular dann Benutzerdaten des angemeldeten Nutzers aus dem ActiveDirectory bereitstellen.

116

117

Kerberos muss als Lizenz-Option freigeschaltet sein!

118

Ist dies der Fall, können folgende Einstellungen bearbeitet werden:

119

120

=== Kerberos nutzen ===

121

122

Mit diesem Schalter lässt sich die Kerberos-Benutzerauthentifizierung für Formulare aktivieren/deaktivieren

123

124

=== Mit {{fserver/}} synchronisieren ===

125

126

Wenn dieser Schalter aktiviert ist, wird beim Speichern der Einstellungen die aktuelle Konfiguration auf alle (erreichbaren) {{fserver number="plural"/}} übertragen.

=== Nutzername ===

Windows Domain Account, welcher für den Zugriff auf das Key Distribution Center (KDC) benötigt wird, um den nachfolgenden Authentifizierungsprozess einzuleiten.

131

In den meisten Fällen ist dies ein User-Account aus dem AD, welcher als Service-Account fungiert und nicht zur Anmeldung an einer Workstation gedacht ist.

132

133

134

Es wird ein Nutzername mit Domainangabe (FQDN) benötigt, wenn in der **krb5.conf** Datei, unter dem Abschnitt //[libdefaults]//, kein **default_realm** definiert ist.

135

//Beispiel: user@EXCAMPLE.COM //

Diesem Benutzer müssen z.B. im Active Directory die zu verwendeten Domians als ServiePrincipalName beginnend mit der Serviceklasse HTTP registriert werden. Mehr dazu finden Sie [[hier>>https://social.technet.microsoft.com/wiki/contents/articles/717.service-principal-names-spn-setspn-syntax.aspx||rel="noopener noreferrer" target="_blank"]] oder [[hier>>https://docs.microsoft.com/en-us/windows-server/networking/sdn/security/kerberos-with-spn||rel="noopener noreferrer" target="_blank"]].

=== Passwort ===

Passwort des oben genannten Service-Accounts

145

146

=== Datei krb5.conf ===

147

148

Hier wird der Inhalt der **krb5.conf** Datei definiert, in welcher die Konfiguration für Kerberos festgelegt werden.

149

Unter anderem werden hier die vom System unterstützten Verschlüsselungsverfahren aufgeführt, sowie der aktuell zu verwendende Realm (Administrationsbereich) und deren Mapping zu einem KDC.

150

151

==== Dateistruktur ====

152

153

Die zu verwendende Schreibweise innerhalb der Datei orientiert sich an Windows INI-Dateien, das heißt, einzelne Abschnitte werden mit

154

einen Abschnittsnamen (in eckigen Klammern) versehen. Jeder Abschnitt enthält keine oder mehrere Zuordnungen,

155

die in folgender Form definiert werden können:

foo = bar

oder

foobar = {

foo = bar

some = input

}

==== Abschnittsnamen ====

171

172

* //[libdefaults]//: Enthält die Einstellungen die von der Kerberos V5-Bibliothek verwendet werden

173

* //[realms]//: Realm-spezifische Kontaktinformationen und Einstellungen

174

* //[domain_realm]// Definiert die Zuordnung von Server Host-Namen zu Kerberos Realms

175

176

===== [libdefaults] =====

177

178

Der Abschnitt //[libdefaults]// kann folgende Zuordnungen enthalten:

179

180

* **default_realm**: Definiert den standardmäßig zu verwendenden Kerberos Administrationsbereich.

181

* **default_tkt_enctypes**: Definiert eine Liste von unterstützten Sitzungsschlüssel-Verschlüsselungstypen, die der Client anfordern sollte, wenn ein AS (Authentication Server)-Request durchgeführt wird. Die Reihenfolge der einzelnen Typen entspricht ihrer Präferenz vom höchsten zum niedrigsten. Die Werte innerhalb der Liste können mit Komma oder Leerzeichen getrennt werden.

182

* **default_tgs_enctypes**: Definiert eine Liste von unterstützten Sitzungsschlüssel-Verschlüsselungstypen, die der Client anfordern sollte, wenn ein TGS (Ticket Granting Server)-Request durchgeführt wird. Die Reihenfolge der einzelnen Typen entspricht ihrer Präferenz vom höchsten zum niedrigsten. Die Werte innerhalb der Liste können mit Komma oder Leerzeichen getrennt werden.

183

* **permitted_enctypes**: Definiert alle Verschlüsselungstypen, die für den Einsatz in Sitzungsschlüssel-Verschlüsselung erlaubt sind.

184

185

Eine beispielhafte Konfiguration für den //[libdefaults]//-Abschnitt kann folgendermaßen aussehen:

[libdefaults]

default_realm = EXAMPLE.COM

190

default_tkt_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 des3-cbc-sha1 arcfour-hmac-md5 camellia256-cts-cmac camellia128-cts-cmac des-cbc-crc des-cbc-md5 des-cbc-md4 rc4-hmac

191

default_tgs_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 des3-cbc-sha1 arcfour-hmac-md5 camellia256-cts-cmac camellia128-cts-cmac des-cbc-crc des-cbc-md5 des-cbc-md4 rc4-hmac

192

permitted_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 des3-cbc-sha1 arcfour-hmac-md5 camellia256-cts-cmac camellia128-cts-cmac des-cbc-crc des-cbc-md5 des-cbc-md4 rc4-hmac

===== [realms] =====

Jeder Tag im Abschnitt //[realms]// ist der Name eines Kerberos-Administrationsbereichs (auch 'Realm' genannt). Der Wert der Variablen ist eine Auflistung von Zuordnungen, die die Eigenschaften eines bestimmten Realms definieren. Für jeden Realm können die folgenden Zuordnungen definiert werden:

198

199

* **kdc**: Definiert den Namen oder die Adresse eines Rechners auf dem ein KDC (Key Distribution Center) für diesen Administrationsbereich läuft (Meist ist dies der Server, unter dem das Active Directory erreichbar ist). Es kann eine optionale Port-Nummer, getrennt mit Doppelpunkt, angegeben werden.

200

201

Eine beispielhafte Konfiguration für den //[realms]//-Abschnitt kann folgendermaßen aussehen:

[realms]

EXAMPLE.COM = {

kdc = domain.example.com

}

===== [domain_realm] =====

211

212

Der //[domain_realm]// Abschnitt enthält eine Zuordnung von einem Domain-Namen oder den Hostnamen zu einem Kerberos-Realm-Namen. Der Tag-Name kann ein Host oder Domain-Name sein, wobei Domain-Namen mittels Punkt (.) als Vorzeichen gekennzeichnet sind. Als Wert wird der Name eines Kerberos-Realm für diesen bestimmten Host oder die Domäne erwartet. Host- oder Domain-Namen sollten klein geschrieben werden.

213

214

Eine beispielhafte Konfiguration für den //[domain_realm]//-Abschnitt kann folgendermaßen aussehen:

[domain_realm]

.example.com = EXAMPLE.COM

219

220

221

=== Datei login.conf ===

222

223

Hier wird der Inhalt der **login.conf** Datei definiert und damit welche Authentifizierungstechnologie für Client und Server zu verwenden ist.

224

225

Eine beispielhafte Konfiguration kann folgendermaßen aussehen:

spnego-client {

com.sun.security.auth.module.Krb5LoginModule required;

};

spnego-server {

com.sun.security.auth.module.Krb5LoginModule required

234

refreshKrb5Config=true

storeKey=true

isInitiator=false;

};

=== Client-Modulname ===

241

242

Der Name, welcher in der //login.conf// Datei für die Definition der Clients verwendet wird.

243

244

=== Name des Server-Moduls ===

245

246

Der Name, welcher in der //login.conf// Datei für die Definition des Servers verwendet wird.

247

248

249

Sollte es bei aktiviertem Kerberos vereinzelt oder dauerhaft zu Fehlern beim Formular-Aufruf kommen (HTTP-Status 400), so überschreitet das Kerberos-Ticket die standardmäßige Größenlimitierung des HTTP-Headers durch den Anwendungsserver (z.B. Tomcat). Eine Lösung bringt die Erhöhung dieser Limitierung welche [[hier>>doc:Formcycle.SystemSettings.TomcatSettings.LimitHTTPHeader]] beschrieben wird.

250

251

252

== LDAP Benutzersuche ==

253

254

Die nachfolgenden Einstellungen sind notwendig, um Benutzerinformationen vom authentifizierten Nutzer über LDAP (MS Active Directory) zu beziehen.

255

Die ermittelten Benutzer-Stammdaten stehen anschließend im Formular zur Verfügung.

256

257

=== Domain-Controller Host* ===

258

259

FQN (Full Qualified Name) und Port des Active-Directory Controllers.

260

Beispiel: domain.example.com Port: 389

261

262

=== SSL-Verbindung ===

263

264

Mit diesem Schalter lässt sich festlegen, ob SSL für den Kommunikation mit dem LDAP-Server verwendet werden soll.

265

266

=== Verweis-Sprünge* ===

267

268

Gibt die maximale Anzahl von durchzuführenden Verweis-Sprüngen (Referrels-Hops) auf dem LDAP-Server an.

269

Ein Wert von 0 deaktiviert ein Folgen von Verweisen.

270

271

=== Nutzer-Account (mit Domainangabe)* ===

272

273

Dieser Account muss das Recht haben, Suchanfragen (Benutzerobjekt) an das Active-Directory zu senden.

274

275

276

Es wird ein Nutzername mit Domainangabe (FQDN) benötigt.

277

//Beispiel: user@EXCAMPLE.COM //

278

279

280

=== Nutzer-Account Passwort* ===

281

282

Passwort für den oben genannten Nutzer-Account.

283

284

=== BaseDn für Suche* ===

285

286

LDAP BaseDN unter der der authentifizierte Benutzer gesucht wird.

287

Beispiel: ou="intern", dc="example", dc="com"

288

289

== Ausgelesene LDAP-Nutzerdaten im Designer verarbeiten ==

290

291

Die zum authentifizierten Nutzer ermittelten Eigenschaften aus dem LDAP werden im **XFC_METADATA**-Objekt abgelegt und stehen dadurch im Formular zur Verfügung. Am JSON-Objekt **user** befindet sich die Eigenschaft **rawData**, welche die ermittelten Daten als JSON-Struktur beinhaltet.

292

293

294

Welche Daten die JSON-Struktur unter der **rawData **Eigenschaft beinhaltet, hängt maßgeblich von den Leserechten des LDAP-Accounts ab,

295

welcher die Nutzersuche im LDAP-System durchführt.

296

297

298

Das nachfolgende JS-Codeschnipsel zeigt einen Zugriff auf die LDAP-Eigenschaft //userPrincipalName// mittels JS im Designer:

try {

// Auslesen der Property und Anzeige in einem Label

303

var elem = $('[name=txt1]');

304

var ldap = XFC_METADATA.user.rawData;

305

if(ldap.hasOwnProperty('userPrincipalName')) {

306

elem.html(ldap.userPrincipalName);

307

}

308

} catch (err) {}

309

Wiki-Quellcode von Einmalanmeldung

Navigation

author	version	line-number	content
		1	Die //Einmalanmeldung// für {{smallcaps}}Ntlm{{/smallcaps}} und Kerberos ist ein kostenpflichtiges {{formcycle/}} Zusatzmodul.
		2
		3	{{content/}}
		4
		5	{{figure image="single_sign_on_ntlm_de.png" width="600"}}
		6	Nutzeroberfläche für die Einstellungen zu {{smallcaps}}Ntlm{{/smallcaps}}. Sie ist nur verfügbar, wenn die Lizenz dies erlaubt.
		7	{{/figure}}
		8
		9	{{smallcaps}}Ntlm{{/smallcaps}} wird für die Authentifizierung von Formularbenutzern verwendet. Ein typisches Einsatzszenario sind Formulare, die intern von Mitarbeitern eines Unternehmens aufgerufen werden. Über {{smallcaps}}Ntlm{{/smallcaps}} kann das Formular auf die Benutzerdaten des angemeldeten ActiveDirectory zugreifen.
		10
		11	{{info}}
		12	{{smallcaps}}Ntlm{{/smallcaps}} ist nur verfügbar, wenn die Lizenz dies erlaubt.
		13	{{/info}}
		14
		15	== NTLM nutzen ==
		16
		17	Mit diesem Schalter lässt sich die {{smallcaps}}Ntlm{{/smallcaps}}-Benutzerauthentifizierung für Formulare aktivieren bzw. deaktivieren
		18
		19	=== Mit {{fserver/}} synchronisieren ===
		20
		21	Wenn dieser Schalter aktiviert ist, wird beim Speichern der Einstellungen die aktuelle Konfiguration auf alle (erreichbaren) {{fserver number="plurar"/}} übertragen.
		22
		23	=== Domain-Controller Host ===
		24
		25	Host (FQN) des ActiveDirectory Controller für die {{smallcaps}}Ntlm{{/smallcaps}}-Authentifizierung eines Benutzers und die anschließende Ermittlung dessen Daten über {{smallcaps}}Ldap{{/smallcaps}}.
		26
		27	{{code language="none"}}
		28	Beispiel: domain.example.de
		29	{{/code}}
		30
		31	== NTLM-Authentifizierung ==
		32
		33	Die folgenden Einstellungen sind für die Authentifizierung eines Benutzers mittels {{smallcaps}}Ntlm{{/smallcaps}} notwendig:
		34
		35	=== Hostname des Domain-Controller Hosts ===
		36
		37	Hostname des Active-Directory-Controller.
		38
		39	{{code language="none"}}
		40	Beispiel: domain
		41	{{/code}}
		42
		43	=== Windows-Domainname ===
		44
		45	Hier können je nach AD verschiedene Schreibweisen des Domainnamen verwendet werden.
		46
		47	{{code language="none"}}
		48	Beispiel: example.de oder example0
		49	{{/code}}
		50
		51	{{info}}
		52	Hier muss der Domain-Name angegeben werden, zu denen die zu authentifizierenden Benutzerkonten gehören.
		53	Dieser Domain-Name kann sich von der Domäne des Computer-Kontos unterscheiden (Dabei handelt es sich um den NetBIOS-Name des Computers und nicht den DNS-/FQDN-Name).
		54
		55	Der zu benutzende Windows-Domainname lässt sich beispielhaft ermitteln, indem man auf einen in der Domäne angemeldeten Client eine Windows Konsole öffnet (//Start / Ausführen / cmd//) und dort folgenden Befehl eingibt:
		56	echo %userdomain%
		57	{{/info}}
		58
		59	=== Computerkonto ===
		60
		61	Dieses Computerkonto muss die Berechtigung zu Nutzerverifizierung haben. Hierbei darf es sich nicht um ein Active-Directory Nutzerkonto handeln!
		62
		63	{{info}}
		64	Ein Computer-Account ist am '$'-Zeichen im Domain-Namen erkennbar. z.B. example$@domain.de
		65	{{/info}}
		66
		67	Beschreibung für die Vorgehensweise zur Erzeugung eines Computer-Accounts im //Active Directory Server// können wir aktuell nicht liefern und muss in der entsprechenden Dokumentation von externen Quellen bezogen werden.
		68
		69	=== Computerkontopasswort ===
		70
		71	Passwort des Computerkontos
		72
		73	== LDAP-Benutzersuche ==
		74
		75	Die folgenden Einstellungen sind für eine Nutzersuche nach erfolgter {{smallcaps}}Ntlm{{/smallcaps}}-Authentifizierung notwendig:
		76
		77	=== Port ===
		78
		79	Der zu verwende Port für die Verbindung mit dem {{smallcaps}}Ldap{{/smallcaps}}-Server zur Nutzersuche
		80
		81	=== SSL-Verbindung ===
		82
		83	Ermöglich das Aktivierung der SSL-verschlüsselten Kommunikation mit dem {{smallcaps}}Ldap{{/smallcaps}}-Server.
		84
		85	=== Verweis-Sprünge ===
		86
		87	Gibt die Anzahl der zu folgenden Verweis-Sprünge (Referrals) an. ein Wert von 0 deaktiviert das Folgen von Verweisen.
		88
		89	=== Nutzerkonto (mit Domainangabe) ===
		90
		91	Konto für die Benutzersuche innerhalb des {{smallcaps}}Ldap{{/smallcaps}}-Servers. Dieses Konto muss entsprechende Rechte für eine Nutzersuche besitzen.
		92
		93	{{code language="none"}}
		94	Beispiel: ldap@example.de
		95	{{/code}}
		96
		97	=== Nutzerkontopasswort ===
		98
		99	Passwort des Nutzerkontos
		100
		101	=== BaseDN für Suche ===
		102
		103	{{smallcaps}}Ldap{{/smallcaps}} BaseDN unter der die zu authentifizierten Benutzer gesucht werden sollen.
		104
		105	{{code language="none"}}
		106	Beispiel: ou="users", dc="example", dc="de"
		107	{{/code}}
		108
		109	== Einstellungen für Kerberos Authentifizierung ==
		110
		111	{{figure image="single_sign_on_kerberos_de.png" width="600"}}
		112	Nutzeroberfläche für die Einstellungen zu Kerberos. Nur verfügbar, wenn die Lizens dies erlaubt.
		113	{{/figure}}
		114
		115	Kerberos wird für die Authentifizierung von Formularbenutzern verwendet. Ein typischen Einsatzszenario sind Formulare, die "intern" von Mitarbeitern eines Unternehmens aufgerufen werden. In einem nachgeordneten Schritt kann das Formular dann Benutzerdaten des angemeldeten Nutzers aus dem ActiveDirectory bereitstellen.
		116
		117	Kerberos muss als Lizenz-Option freigeschaltet sein!
		118	Ist dies der Fall, können folgende Einstellungen bearbeitet werden:
		119
		120	=== Kerberos nutzen ===
		121
		122	Mit diesem Schalter lässt sich die Kerberos-Benutzerauthentifizierung für Formulare aktivieren/deaktivieren
		123
		124	=== Mit {{fserver/}} synchronisieren ===
		125
		126	Wenn dieser Schalter aktiviert ist, wird beim Speichern der Einstellungen die aktuelle Konfiguration auf alle (erreichbaren) {{fserver number="plural"/}} übertragen.
		127
		128	=== Nutzername ===
		129
		130	Windows Domain Account, welcher für den Zugriff auf das Key Distribution Center (KDC) benötigt wird, um den nachfolgenden Authentifizierungsprozess einzuleiten.
		131	In den meisten Fällen ist dies ein User-Account aus dem AD, welcher als Service-Account fungiert und nicht zur Anmeldung an einer Workstation gedacht ist.
		132
		133	{{info}}
		134	Es wird ein Nutzername mit Domainangabe (FQDN) benötigt, wenn in der krb5.conf Datei, unter dem Abschnitt //[libdefaults]//, kein default_realm definiert ist.
		135	//Beispiel: user@EXCAMPLE.COM //
		136	{{/info}}
		137
		138	{{info}}
		139	Diesem Benutzer müssen z.B. im Active Directory die zu verwendeten Domians als ServiePrincipalName beginnend mit der Serviceklasse HTTP registriert werden. Mehr dazu finden Sie [[hier>>https://social.technet.microsoft.com/wiki/contents/articles/717.service-principal-names-spn-setspn-syntax.aspx\|\|rel="noopener noreferrer" target="_blank"]] oder [[hier>>https://docs.microsoft.com/en-us/windows-server/networking/sdn/security/kerberos-with-spn\|\|rel="noopener noreferrer" target="_blank"]].
		140	{{/info}}
		141
		142	=== Passwort ===
		143
		144	Passwort des oben genannten Service-Accounts
		145
		146	=== Datei krb5.conf ===
		147
		148	Hier wird der Inhalt der krb5.conf Datei definiert, in welcher die Konfiguration für Kerberos festgelegt werden.
		149	Unter anderem werden hier die vom System unterstützten Verschlüsselungsverfahren aufgeführt, sowie der aktuell zu verwendende Realm (Administrationsbereich) und deren Mapping zu einem KDC.
		150
		151	==== Dateistruktur ====
		152
		153	Die zu verwendende Schreibweise innerhalb der Datei orientiert sich an Windows INI-Dateien, das heißt, einzelne Abschnitte werden mit
		154	einen Abschnittsnamen (in eckigen Klammern) versehen. Jeder Abschnitt enthält keine oder mehrere Zuordnungen,
		155	die in folgender Form definiert werden können:
		156
		157	{{code language="java" title=""}}
		158	foo = bar
		159	{{/code}}
		160
		161	oder
		162
		163	{{code language="java" title=""}}
		164	foobar = {
		165	foo = bar
		166	some = input
		167	}
		168	{{/code}}
		169
		170	==== Abschnittsnamen ====
		171
		172	* //[libdefaults]//: Enthält die Einstellungen die von der Kerberos V5-Bibliothek verwendet werden
		173	* //[realms]//: Realm-spezifische Kontaktinformationen und Einstellungen
		174	* //[domain_realm]// Definiert die Zuordnung von Server Host-Namen zu Kerberos Realms
		175
		176	===== [libdefaults] =====
		177
		178	Der Abschnitt //[libdefaults]// kann folgende Zuordnungen enthalten:
		179
		180	* default_realm: Definiert den standardmäßig zu verwendenden Kerberos Administrationsbereich.
		181	* default_tkt_enctypes: Definiert eine Liste von unterstützten Sitzungsschlüssel-Verschlüsselungstypen, die der Client anfordern sollte, wenn ein AS (Authentication Server)-Request durchgeführt wird. Die Reihenfolge der einzelnen Typen entspricht ihrer Präferenz vom höchsten zum niedrigsten. Die Werte innerhalb der Liste können mit Komma oder Leerzeichen getrennt werden.
		182	* default_tgs_enctypes: Definiert eine Liste von unterstützten Sitzungsschlüssel-Verschlüsselungstypen, die der Client anfordern sollte, wenn ein TGS (Ticket Granting Server)-Request durchgeführt wird. Die Reihenfolge der einzelnen Typen entspricht ihrer Präferenz vom höchsten zum niedrigsten. Die Werte innerhalb der Liste können mit Komma oder Leerzeichen getrennt werden.
		183	* permitted_enctypes: Definiert alle Verschlüsselungstypen, die für den Einsatz in Sitzungsschlüssel-Verschlüsselung erlaubt sind.
		184
		185	Eine beispielhafte Konfiguration für den //[libdefaults]//-Abschnitt kann folgendermaßen aussehen:
		186
		187	{{code language="java" title=""}}
		188	[libdefaults]
		189	default_realm = EXAMPLE.COM
		190	default_tkt_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 des3-cbc-sha1 arcfour-hmac-md5 camellia256-cts-cmac camellia128-cts-cmac des-cbc-crc des-cbc-md5 des-cbc-md4 rc4-hmac
		191	default_tgs_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 des3-cbc-sha1 arcfour-hmac-md5 camellia256-cts-cmac camellia128-cts-cmac des-cbc-crc des-cbc-md5 des-cbc-md4 rc4-hmac
		192	permitted_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 des3-cbc-sha1 arcfour-hmac-md5 camellia256-cts-cmac camellia128-cts-cmac des-cbc-crc des-cbc-md5 des-cbc-md4 rc4-hmac
		193	{{/code}}
		194
		195	===== [realms] =====
		196
		197	Jeder Tag im Abschnitt //[realms]// ist der Name eines Kerberos-Administrationsbereichs (auch 'Realm' genannt). Der Wert der Variablen ist eine Auflistung von Zuordnungen, die die Eigenschaften eines bestimmten Realms definieren. Für jeden Realm können die folgenden Zuordnungen definiert werden:
		198
		199	* kdc: Definiert den Namen oder die Adresse eines Rechners auf dem ein KDC (Key Distribution Center) für diesen Administrationsbereich läuft (Meist ist dies der Server, unter dem das Active Directory erreichbar ist). Es kann eine optionale Port-Nummer, getrennt mit Doppelpunkt, angegeben werden.
		200
		201	Eine beispielhafte Konfiguration für den //[realms]//-Abschnitt kann folgendermaßen aussehen:
		202
		203	{{code language="java" title=""}}
		204	[realms]
		205	EXAMPLE.COM = {
		206	kdc = domain.example.com
		207	}
		208	{{/code}}
		209
		210	===== [domain_realm] =====
		211
		212	Der //[domain_realm]// Abschnitt enthält eine Zuordnung von einem Domain-Namen oder den Hostnamen zu einem Kerberos-Realm-Namen. Der Tag-Name kann ein Host oder Domain-Name sein, wobei Domain-Namen mittels Punkt (.) als Vorzeichen gekennzeichnet sind. Als Wert wird der Name eines Kerberos-Realm für diesen bestimmten Host oder die Domäne erwartet. Host- oder Domain-Namen sollten klein geschrieben werden.
		213
		214	Eine beispielhafte Konfiguration für den //[domain_realm]//-Abschnitt kann folgendermaßen aussehen:
		215
		216	{{code language="java" title=""}}
		217	[domain_realm]
		218	.example.com = EXAMPLE.COM
		219	{{/code}}
		220
		221	=== Datei login.conf ===
		222
		223	Hier wird der Inhalt der login.conf Datei definiert und damit welche Authentifizierungstechnologie für Client und Server zu verwenden ist.
		224
		225	Eine beispielhafte Konfiguration kann folgendermaßen aussehen:
		226
		227	{{code language="java" title=""}}
		228	spnego-client {
		229	com.sun.security.auth.module.Krb5LoginModule required;
		230	};
		231
		232	spnego-server {
		233	com.sun.security.auth.module.Krb5LoginModule required
		234	refreshKrb5Config=true
		235	storeKey=true
		236	isInitiator=false;
		237	};
		238	{{/code}}
		239
		240	=== Client-Modulname ===
		241
		242	Der Name, welcher in der //login.conf// Datei für die Definition der Clients verwendet wird.
		243
		244	=== Name des Server-Moduls ===
		245
		246	Der Name, welcher in der //login.conf// Datei für die Definition des Servers verwendet wird.
		247
		248	{{error}}
		249	Sollte es bei aktiviertem Kerberos vereinzelt oder dauerhaft zu Fehlern beim Formular-Aufruf kommen (HTTP-Status 400), so überschreitet das Kerberos-Ticket die standardmäßige Größenlimitierung des HTTP-Headers durch den Anwendungsserver (z.B. Tomcat). Eine Lösung bringt die Erhöhung dieser Limitierung welche [[hier>>doc:Formcycle.SystemSettings.TomcatSettings.LimitHTTPHeader]] beschrieben wird.
		250	{{/error}}
		251
		252	== LDAP Benutzersuche ==
		253
		254	Die nachfolgenden Einstellungen sind notwendig, um Benutzerinformationen vom authentifizierten Nutzer über LDAP (MS Active Directory) zu beziehen.
		255	Die ermittelten Benutzer-Stammdaten stehen anschließend im Formular zur Verfügung.
		256
		257	=== Domain-Controller Host* ===
		258
		259	FQN (Full Qualified Name) und Port des Active-Directory Controllers.
		260	Beispiel: domain.example.com Port: 389
		261
		262	=== SSL-Verbindung ===
		263
		264	Mit diesem Schalter lässt sich festlegen, ob SSL für den Kommunikation mit dem LDAP-Server verwendet werden soll.
		265
		266	=== Verweis-Sprünge* ===
		267
		268	Gibt die maximale Anzahl von durchzuführenden Verweis-Sprüngen (Referrels-Hops) auf dem LDAP-Server an.
		269	Ein Wert von 0 deaktiviert ein Folgen von Verweisen.
		270
		271	=== Nutzer-Account (mit Domainangabe)* ===
		272
		273	Dieser Account muss das Recht haben, Suchanfragen (Benutzerobjekt) an das Active-Directory zu senden.
		274
		275	{{info}}
		276	Es wird ein Nutzername mit Domainangabe (FQDN) benötigt.
		277	//Beispiel: user@EXCAMPLE.COM //
		278	{{/info}}
		279
		280	=== Nutzer-Account Passwort* ===
		281
		282	Passwort für den oben genannten Nutzer-Account.
		283
		284	=== BaseDn für Suche* ===
		285
		286	LDAP BaseDN unter der der authentifizierte Benutzer gesucht wird.
		287	Beispiel: ou="intern", dc="example", dc="com"
		288
		289	== Ausgelesene LDAP-Nutzerdaten im Designer verarbeiten ==
		290
		291	Die zum authentifizierten Nutzer ermittelten Eigenschaften aus dem LDAP werden im XFC_METADATA-Objekt abgelegt und stehen dadurch im Formular zur Verfügung. Am JSON-Objekt user befindet sich die Eigenschaft rawData, welche die ermittelten Daten als JSON-Struktur beinhaltet.
		292
		293	{{info}}
		294	Welche Daten die JSON-Struktur unter der rawData Eigenschaft beinhaltet, hängt maßgeblich von den Leserechten des LDAP-Accounts ab,
		295	welcher die Nutzersuche im LDAP-System durchführt.
		296	{{/info}}
		297
		298	Das nachfolgende JS-Codeschnipsel zeigt einen Zugriff auf die LDAP-Eigenschaft //userPrincipalName// mittels JS im Designer:
		299
		300	{{code language="javascript"}}
		301	try {
		302	// Auslesen der Property und Anzeige in einem Label
		303	var elem = $('[name=txt1]');
		304	var ldap = XFC_METADATA.user.rawData;
		305	if(ldap.hasOwnProperty('userPrincipalName')) {
		306	elem.html(ldap.userPrincipalName);
		307	}
		308	} catch (err) {}
		309	{{/code}}