Tipps & Tricks - Gemischte Authentifizierung




Im Modul Benutzer können Sie über das Hauptmenü Benutzer/Konfiguration/Authentifizierung verschiedene Authentifizierungs-Methoden für das Portal einstellen: Die Beschreibung der Einstellungen im entsprechenden Dialog finden Sie hier. Die Intrexx-Authentifizierung wird verbreitet in Extranet-Situationen verwendet. Die Single-Sign-On(SSO)–Windows-Authentifizierung wird weitgehend für Intranets verwendet. Die LDAP-Authentifizierung wird prinzipiell für Extranets eingesetzt. Es gibt Szenarios, in denen die Anforderungen an die Authentifizierung nicht mit nur einer Methode erfüllt werden können. Die gemischte Authentifizierung bietet mehrfache Authentifizierungs-Methoden an. Mögliche Szenarien sind:

Anpassungen

Die Einstellungen müssen in der Webserver-Konfiguration von IIS- bzw. Tomcat angepasst werden. Unser erstes Beispiel zeigt die Anpassung für IIS. Unter Umständen kann auch die Einrichtung eines Reverse-Proxy bzw. die Überarbeitung seiner Konfiguration erforderlich sein. Außerdem müssen diese beiden Dateien, die Sie im Portalverzeichnis /internal/cfg finden, angepasst werden:

Beispiel om.cfg file

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
	<authentication anonymous="05CE8CE3035924F7D3088895F1D87DADD65CFAE4>
		<binding scope="odataservice" auth-type="IntegratedAuthClient"/>
		<binding scope="web" auth-type="MyDemoAuth"/>
		<binding scope="documentintegration" auth-type="IntegratedAuth"/>
		<binding scope="client" auth-type="IntegratedAuthClient"/>
		<binding scope="webservice" auth-type="IntegratedAuthClient"/>
		<webserver-configuration plain-text-auth="false" integrated-auth="true" insecure-basic="false"/>
		<mobile-devices plain-text-auth="never"/>
	</authentication>
	<security pwd-dictionary="....."/>
	<organization default-container-guid="...."/>
</configuration>

Beispiel zusätzlicher Abschnitt für die Datei LucyAuth.cfg

MyDemoAuth
{
	de.uplanet.lucy.server.auth.module.integrated.IntegratedLoginModule sufficient
		debug=false;

	de.uplanet.lucy.server.auth.module.ldap.LdapBindLoginModule sufficient
		java.naming.provider.url="ldap://directoryserver.example.org:389"
		java.naming.security.authentication="simple"
		java.naming.security.principal="$[DN]"
		debug=false;

	de.uplanet.lucy.server.auth.module.intrexx.IntrexxLoginModule sufficient
		debug=false;

	de.uplanet.lucy.server.auth.module.anonymous.AnonymousLoginModule sufficient
		debug=false;
};

Anpassung der IIS-Konfiguration

Die hier gezeigte Lösung verwendet eine alternative URL für die zweite Authentifizierungs-Methode (hier die Intrexx-Authentifizierung). In diesem Beispiel lautet die Portal-URL demo8, und die alternative URL demo8_2. Die Konfiguration mit nur einer URL würde eine zusätzliche Netzwerk-Karte im Intrexx Portal Server bzw. die Virtualisierung der vorhandenen Netzwerk-Karte erfordern.



Richten Sie die alternative URL im IIS über das Kontextmenü "Anwendung hinzufügen" der Default Web Site ein.



Die beiden Beispiel-Anwendungen haben denselben physikalischen Pfad - Portalverzeichnis/external/htmlroot.

ASP-Konfiguration für beide Website-URLs




Öffnen Sie die ASP-Eigenschaften von demo8 mit einem Doppelklick auf "Eigenschaften für ASP-Anwendungen konfigurieren".



Setzen Sie hier die Eigenschaft Enable Parent Paths = True. Wiederholen Sie diese Änderung auch bei demo8_2.

Authentifizierungseinstellungen für die Portal-URL demo8: SSO




Öffnen Sie die Authentifizierungseinstellungen von demo8 mit einem Doppelklick auf "Authentifizierungseinstellungen für Sites und Anwendungen konfigurieren".



Setzen Sie hier die Einstellungen

Authentifizierungseinstellungen für die alternative URL demo8_2: Intrexx-Anmeldung

Öffnen Sie die Authentifizierungseinstellungen von demo8_2 mit einem Doppelklick auf "Authentifizierungseinstellungen für Sites und Anwendungen konfigurieren".



Setzen Sie hier die Einstellungen Wenn alle Einstellungen gesetzt sind, muss der Portal-Dienst neu gestartet werden.

Konfiguration mit LDAP und Intrexx-Authentifizierung

Wenn die Authentifizierung-Methoden LDAP und Intrexx-Authentifizierung angeboten werden sollen, müssen ebenfalls die Dateien LucyAuth.cfg und om.cfg bearbeitet werden. Die Datei LucyAuth.cfg muss wie folgt bearbeitet werden:
MyDemoAuth2
{
	de.uplanet.lucy.server.auth.module.ldap.LdapBindLoginModule sufficient
		java.naming.provider.url="ldap://directoryserver.example.org:389"
		java.naming.security.authentication="simple"
		java.naming.security.principal="$[DN]"
		debug=false;

	de.uplanet.lucy.server.auth.module.intrexx.IntrexxLoginModule sufficient
		debug=false;

	de.uplanet.lucy.server.auth.module.anonymous.AnonymousLoginModule sufficient
		debug=false;
};
Die Verwendung einer sicheren Verbindung (z.B. LDAP) ist hier empfohlen. Dazu muss zunächst das LDAP-Zertifikat in das Portal importiert werden. Ändern Sie außerdem die Zeile
java.naming.provider.url="ldap://directoryserver.example.org:389"
im MyDemoAuth2-Abschnitt um in
java.naming.provider.url="ldaps://directoryserver.example.org:636"
Die Datei om.cfg muss wie folgt angepasst werden:
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
	<authentication anonymous="05CE8CE3035924F7D3088895F1D87DADD65CFAE4">
		<binding scope="web" auth-type="MyDemoAuth2"/>
		<binding scope="client" auth-type="IntrexxAuth"/>
		<binding scope="webservice" auth-type="IntrexxAuth"/>
		<binding scope="odataservice" auth-type="ODataAuth"/>
		<binding scope="documentintegration" auth-type="IntrexxAuth"/>
		<webserver-configuration plain-text-auth="false" integrated-auth="false"/>
        <mobile-devices plain-text-auth="never"/>
	</authentication>

	<security/>
	<organization default-container-guid="..." default-distlist-guid="..."/>
</configuration>
Auch hier muss, wenn alle Änderungen durchgeführt sind, der Portal-Dienst neu gestartet werden.