Kerberos SSO
Einleitung
Zur Aktivierung des SingleSignOn (SSO) über Kerberos muss die Funktionalität im Active Directory (AD) des Unternehmens aktiviert und konfiguriert werden.
Darüber hinaus müssen Anpassungen in den Einstellungen der ForumSuite sowie ggf. für den auf dem Windows Desktop des Anwenders verwendeten Browsers vorgenommen werden.
Anpassung am Active Directory
Sämtliche nachfolgende Angaben zu Benutzern, Passworten, Servern und Domains müssen auf die für ihr Unternehmen gültigen Werte angepasst werden.
Registrieren des Dienstprinzipalnamens (SPN)
#Am AD Server auszuführen.
#In der Befehlszeile den Server auf welchem die ForumSuite gehostet wird hinterlegen.
#Die Angabe des Ports ist optional (falls abweichend von Standard HTTP Port). Notation: HTTP/server.domain.lan:<Port>
PS C:\>setspn -A HTTP/server.domain.lan Benutzer
Generierung KeyTab Datei
PS C:\>ktpass /out c:\fsuite.keytab /mapuser Benutzer@domain.lan /princ HTTP/server.domain.lan@DOMAIN.LAN /pass 'Password' /ptype KRB5_NT_PRINCIPAL /crypto All
Die erzeugte Datei im Ordner config
der ForumSuite ablegen und den Pfad im Parameter application.kerberos.keytab-location
hinterlegen (siehe nächster Abschnitt).
Notwendige Parameter in der Datei application.properties
der ForumSuite
Parameter | Defaultwert | Bedeutung | Beispiel |
---|---|---|---|
application.kerberos.enabled | false | Kerberos SSO aktiv? | application.kerberos.enabled=true |
application.kerberos.service-principal | (leer) | ServicePrincipalName | application.kerberos.service-principal=HTTP/server.domain.lan@DOMAIN.LAN |
application.kerberos.keytab-location | (leer) | Pfad zur Keytab-Datei des Services Bei relativen Angaben muss das Verzeichnis z.B. "config/" mit angegeben werden. | application.kerberos.keytab-location=config/fsuite.keytab |
application.kerberos.remove-domain | false | AD-Domain aus Login-Kennung entfernen? Falls ein "@" in der Kennung enthalten ist, werden als Nutzername nur die Zeichen davor behalten. Beispiel: Bei aktivierter Einstellung wird die Kennung "ad-benutzer@DOMAIN.LAN" zu "ad-benutzer". | application.kerberos.remove-domain=true |
application.kerberos.debug | false | Debug-Modus aktiv? | application.kerberos.debug=true |
Anpassung Browser
Zur Nutzung von Kerberos SSO müssen – sofern noch nicht erfolgt – Anpassungen der auf den Windows Desktop des Anwenders genutzten Browser vorgenommen werden.