Kerberos ist eine Netzwerk-Authentifizierung, die es Knoten erlaubt, über ein nicht-sicheres Netzwerk zu kommunizieren und ihre Identität in einer sicheren Weise auszutauschen. Kerberos ist der empfohlene Weg einer Benutzerauthentifizierung in Microsoft® Windows-Netzwerken. Darüber hinaus ist es bei Linux-Betriebssystemen weit verbreitet und es gibt Implementierungen für alle wichtigen Plattformen
Vorgehen
Wenn Ihnen keine Kerberos-Konfigurationsdatei zur Verfügung steht, nehmen Sie die Datei kbr5.conf von Ihrem Installationsmedium unter Add-ons\Kerberos. Nennen Sie diese beispielsweise krb5.conf, fügen Sie die folgenden Zeilen hinzu und passen Sie die Konfiguration an Ihre Bedürfnisse an.
[libdefaults]
default_tgs_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1 aes128-cts aes128-cts-hmac-sha1-96 aes256-cts aes256-cts-hmac-sha1-96 rc4-hmac arcfour-hmac arcfour-hmac-md5
default_tkt_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1 aes128-cts aes128-cts-hmac-sha1-96 aes256-cts aes256-cts-hmac-sha1-96 rc4-hmac arcfour-hmac arcfour-hmac-md5
permitted_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1 aes128-cts aes128-cts-hmac-sha1-96 aes256-cts aes256-cts-hmac-sha1-96 rc4-hmac arcfour-hmac arcfour-hmac-md5
Lautet der Service Principal Name in der Keytab beispielsweise mypc01@MY.DOMAIN.COM, dann müssen die Werte der Eigenschaft com.company.aris.umc.kerberos.servicePrincipalName den Service Principal Name genauso enthalten, wie sie in der Keytab-Datei spezifiziert sind.
Z. B.: MYDOMAIN.COM.
Die Debug-Ausgabe des Programms, an dem sich der Benutzer anmelden will, ist in der Datei system.out des jeweiligen Programms gespeichert. Diese liegt beispielsweise für die Benutzerverwaltung im Verzeichnis <ARIS-Installationsverzeichnis/work_umcadmin_m/base/logs.
Sie haben SSO in ARIS Administration für die Verwendung von Kerberos konfiguriert.
Sie können Kerberos mit mehreren LDAP-Systemen verwenden.
Client-Konfiguration
Konfigurieren Sie die Browser-Einstellungen, um SSO zu erlauben. SSO wurde mit den folgenden Browsern getestet:
Voraussetzung
Sie müssen zunächst den Kerberos-Ticket-Cache jedes Clients leeren, um obsolete Tickets zu vermeiden, wenn Microsoft® Active Directory Domain Services geändert wurde. Löschen Sie den Kerberos-Ticket-Cache, indem Sie das Kommando klist.exe purge ausführen. Falls das Purge-Programm auf dem Client-Computer nicht verfügbar ist, können Sie auch einfach den Client-Computer an der Domäne abmelden und ihn dann wieder anmelden.
Microsoft® Internet Explorer®
Microsoft® Internet Explorer® unterstützt die Kerberos-Authentifizierung nur, wenn der ARIS Server Teil Ihres lokalen Intranets ist.
Vorgehen
Mozilla Firefox®
In Mozilla Firefox® können Sie vertrauenswürdige Seiten über den Computer-Namen, die IP-Adresse oder eine Kombination von beidem definieren. Sie können Platzhalter verwenden.
Vorgehen
Wenn Sie eine stärkere Verschlüsselung als AES 128bit verwenden möchten und dies in Ihrem Land erlaubt ist, ersetzen Sie die JCE Policy-Datei des JDK Ihres ARIS Servers mit der Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 6. Dies erlaubt eine unbegrenzte Schlüssellänge.
Können Sie die Policy-Dateien nicht ersetzen, möchten aber dennoch SSO verwenden, müssen Sie ein Vorgehen verwenden, das vom JDK für die Verschlüsselung von Kerberos-Tickets erlaubt ist, z. B. AES 128bit.