Skip to main content
Skip table of contents

Konfiguration SSO

Einleitung

Zur Aktivierung des SingleSignOn (SSO) über Kerberos muss die Funktionalität im Active Directory (AD) des Unternehmens aktiviert und konfiguriert werden.
Darüber hinaus müssen Anpassungen in den Einstellungen der ForumSuite sowie ggf. für den auf dem Windows Desktop des Anwenders verwendeten Browsers vorgenommen werden.

Anpassung am Active Directory

Sämtliche nachfolgende Angaben zu Benutzern, Passworten, Servern und Domains müssen auf die für ihr Unternehmen gültigen Werte angepasst werden.

CODE
#Am AD Server auszuführen. 
#In der Befehlszeile den Server auf welchem die ForumSuite gehostet wird hinterlegen. 
#Die Angabe des Ports ist optional (falls abweichend von Standard HTTP Port). Notation: HTTP/server.domain.lan:<Port>

PS C:\>setspn -A HTTP/server.domain.lan Benutzer
CODE
PS C:\>ktpass /out c:\fsuite.keytab /mapuser Benutzer@domain.lan /princ HTTP/server.domain.lan@DOMAIN.LAN /pass 'Password' /ptype KRB5_NT_PRINCIPAL /crypto All

Die erzeugte Datei im Ordner config der ForumSuite ablegen und den Pfad im Parameter application.kerberos.keytab-location hinterlegen (siehe nächster Abschnitt).

Notwendige Parameter in der Datei application.properties der ForumSuite

Parameter

Defaultwert

Bedeutung

Beispiel

application.kerberos.enabled

false

Kerberos SSO aktiv?

application.kerberos.enabled=true

application.kerberos.service-principal

(leer)

ServicePrincipalName

application.kerberos.service-principal=HTTP/server.domain.lan@DOMAIN.LAN

application.kerberos.keytab-location

(leer)

Pfad zur Keytab-Datei des Services

Bei relativen Angaben muss das Verzeichnis z.B. "config/" mit angegeben werden.

application.kerberos.keytab-location=config/fsuite.keytab

application.kerberos.remove-domain

false

AD-Domain aus Login-Kennung entfernen?

Falls ein "@" in der Kennung enthalten ist, werden als Nutzername nur die Zeichen davor behalten.
Über diesen Nutzernamen erfolgt dann das Mapping auf "user" in der ForumSuite.

Beispiel: Bei aktivierter Einstellung wird die Kennung "ad-benutzer@DOMAIN.LAN" zu "ad-benutzer".

application.kerberos.remove-domain=true

application.kerberos.debug

false

Debug-Modus aktiv?

application.kerberos.debug=true

Anpassung Browser

Zur Nutzung von Kerberos SSO müssen – sofern noch nicht erfolgt – Anpassungen der auf den Windows Desktop des Anwenders genutzten Browser vorgenommen werden.

Firefox

Die nachfolgende Einstellung existiert nur für Windows! Unter MacOS und Linux ist die Einstellungsmöglichkeit für SSPI nicht vorhanden.

Internet Explorer und Chrome

Fügen Sie die Domäne zum lokalen Intranet hinzu.

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.