Kerberos verwenden

Kerberos ist eine Netzwerk-Authentifizierung, die es Knoten erlaubt, über ein nicht-sicheres Netzwerk zu kommunizieren und ihre Identität in einer sicheren Weise auszutauschen. Kerberos ist der empfohlene Weg einer Benutzerauthentifizierung in Microsoft® Windows-Netzwerken. Darüber hinaus ist es bei Linux-Betriebssystemen weit verbreitet und es gibt Implementierungen für alle wichtigen Plattformen

Vorgehen

  1. Klicken Sie auf Anwendungsstarter Anwendungsstarter > Administration Administration. Die Administration wird mit der Ansicht Konfiguration Konfiguration geöffnet.

  2. Klicken Sie auf Benutzerverwaltung.

  3. Klicken Sie auf den Pfeil neben Kerberos.

  4. Klicken Sie auf Allgemein.

    Wenn Ihnen keine Kerberos-Konfigurationsdatei zur Verfügung steht, nehmen Sie die Datei kbr5.conf von Ihrem Installationsmedium unter Add-ons\Kerberos. Nennen Sie diese beispielsweise krb5.conf, fügen Sie die folgenden Zeilen hinzu und passen Sie die Konfiguration an Ihre Bedürfnisse an.

    [libdefaults]

    default_tgs_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1 aes128-cts aes128-cts-hmac-sha1-96 aes256-cts aes256-cts-hmac-sha1-96 rc4-hmac arcfour-hmac arcfour-hmac-md5

    default_tkt_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1 aes128-cts aes128-cts-hmac-sha1-96 aes256-cts aes256-cts-hmac-sha1-96 rc4-hmac arcfour-hmac arcfour-hmac-md5

    permitted_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1 aes128-cts aes128-cts-hmac-sha1-96 aes256-cts aes256-cts-hmac-sha1-96 rc4-hmac arcfour-hmac arcfour-hmac-md5

  5. Um die Konfigurationsdatei hochzuladen, klicken Sie unter dem Feld Konfigurationsdatei auf Hochladen Hochladen. Sie finden diese Datei auf dem Installationsmedium unter Add-ons\Kerberos.

  6. Klicken Sie auf Bearbeiten Bearbeiten.

  7. Aktivieren Sie Kerberos verwenden.

  8. Geben Sie in das Feld Prinzipal den vom Administrator vergebenen technischen Benutzernamen ein.

    Lautet der Service Principal Name in der Keytab beispielsweise mypc01@MY.DOMAIN.COM, dann müssen die Werte der Eigenschaft com.company.aris.umc.kerberos.servicePrincipalName den Service Principal Name genauso enthalten, wie sie in der Keytab-Datei spezifiziert sind.

  9. Konfigurieren Sie im Feld Bereich den Bereich für den Kerberos-Service. Geben Sie den vollqualifizierten Namen der Domäne in Großbuchstaben ein.

    Z. B.: MYDOMAIN.COM.

  10. Konfigurieren Sie im Feld KDC den vollqualifizierten Namen der zu verwendenden KDC.

  11. Optional:

    1. Klicken Sie auf Erweiterte Einstellungen.

    2. Aktivieren Sie Debug-Ausgabe.

      Die Debug-Ausgabe des Programms, an dem sich der Benutzer anmelden will, ist in der Datei system.out des jeweiligen Programms gespeichert. Diese liegt beispielsweise für die Benutzerverwaltung im Verzeichnis <ARIS-Installationsverzeichnis/work_umcadmin_m/base/logs.

Sie haben SSO in ARIS Administration für die Verwendung von Kerberos konfiguriert.

Sie können Kerberos mit mehreren LDAP-Systemen verwenden.

Client-Konfiguration

Konfigurieren Sie die Browser-Einstellungen, um SSO zu erlauben. SSO wurde mit den folgenden Browsern getestet:

Voraussetzung

Sie müssen zunächst den Kerberos-Ticket-Cache jedes Clients leeren, um obsolete Tickets zu vermeiden, wenn Microsoft® Active Directory Domain Services geändert wurde. Löschen Sie den Kerberos-Ticket-Cache, indem Sie das Kommando klist.exe purge ausführen. Falls das Purge-Programm auf dem Client-Computer nicht verfügbar ist, können Sie auch einfach den Client-Computer an der Domäne abmelden und ihn dann wieder anmelden.

Microsoft® Internet Explorer®

Microsoft® Internet Explorer® unterstützt die Kerberos-Authentifizierung nur, wenn der ARIS-Server Teil Ihres lokalen Intranets ist.

Vorgehen

  1. Starten Sie Microsoft® Internet Explorer®.

  2. Klicken Sie auf Extras > Internetoptionen.

  3. Aktivieren Sie die Registerkarte Sicherheit und klicken Sie auf Lokales Intranet.

  4. Klicken Sie auf Sites und anschließen auf Erweitert.

  5. Fügen Sie die URL des ARIS-Servers hinzu, der für SSO konfiguriert wurde. Fügen Sie den DNS-Host-Name und die IP-Adresse des ARIS-Servers hinzu.

  6. Optional: Deaktivieren Sie Für Sites diese Zone ist eine Server-Überprüfung (https:) erforderlich.

  7. Klicken Sie auf Schließen und anschließend auf OK.

  8. Klicken Sie auf Stufe anpassen und stellen Sie sicher, dass keine benutzerdefinierten Einstellungen Ihre neuen Einstellungen beeinträchtigen.

  9. Suchen Sie den Bereich Benutzerauthentifizierung. Prüfen Sie, ob Automatisches Anmelden nur in der Intranetzone aktiviert ist.

  10. Klicken Sie auf OK.

  11. Schließen Sie Microsoft® Internet Explorer® und starten Sie diesen erneut.

Mozilla Firefox®

In Mozilla Firefox® können Sie vertrauenswürdige Seiten über den Computer-Namen, die IP-Adresse oder eine Kombination von beidem definieren. Sie können Platzhalter verwenden.

Vorgehen

  1. Starten Sie Mozilla Firefox®.

  2. Geben Sie about:config in der Adresszeile ein und drücken Sie die Eingabetaste. Bestätigen Sie eine Meldung, falls nötig.

  3. Geben Sie im Feld Suchen network.negotiate ein und drücken Sie ggf. die Eingabetaste.

  4. Klicken Sie doppelt auf network.negotiate-auth.trusted-uris.

  5. Geben Sie den Computer-Name oder die IP-Adresse des ARIS-Servers ein, den Sie für SSO konfiguriert haben und klicken Sie auf OK.

  6. Schließen Sie Mozilla Firefox® und starten Sie ihn erneut.

Wenn Sie eine stärkere Verschlüsselung als AES 128bit verwenden möchten und dies in Ihrem Land erlaubt ist, ersetzen Sie die JCE Policy-Datei des JDK Ihres ARIS-Servers mit der Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 6. Dies erlaubt eine unbegrenzte Schlüssellänge.

Können Sie die Policy-Dateien nicht ersetzen, möchten aber dennoch SSO verwenden, müssen Sie ein Vorgehen verwenden, das vom JDK für die Verschlüsselung von Kerberos-Tickets erlaubt ist, z. B. AES 128bit.