Einführung / Konfiguration des FirstSpirit-Servers / Konfigurationsdateien (FirstSpirit-Server) / Anmeldevorgang (fs-jaas.conf) / Anmelde-Ticket aus Windows-NETBIOS-Domäne (NTLM)

Anmelde-Ticket aus Windows-NETBIOS-Domäne (NTLM)

Bei den Betriebssystemen Windows Vista, Windows 7 und Windows Server 2008 R2 wird standardmäßig für die Authentifizierung das NTLMv2-Verfahren verwendet.

Die NTLM-Authentifizierung wird vom FirstSpirit-Server genutzt, wenn beim Anmeldevorgang das NTLM-Loginmodul verwendet wird. Das NTLM-Loginmodul ist nicht kompatibel zu NTLMv2. Bei der Verwendung der o. g. Betriebssystem-Versionen und des NTLM-Loginmodules muss die Einstellung der LAN Manager-Authentifizierungsebene geändert und NTLM(v1) zugelassen werden.

JAAS-Modulname: de.espirit.firstspirit.server.authentication.NTLMLoginModule

Es wird ein Berechtigungsnachweis (Ticket) akzeptiert, der bei der Anmeldung innerhalb einer Windows-Domäne erstellt wird. Ein Redakteur braucht sich damit nur einmal an seinem Arbeitsplatzrechner anzumelden, da der Webbrowser den Berechtigungsnachweis automatisch an FirstSpirit übermittelt. Als Webbrowser wird für dieses Anmeldeverfahren derzeit nur Microsoft Internet Explorer unterstützt. Über den Parameter domains werden die zur Anmeldung zugelassenen Windows-Domänen angegeben. Optional zusätzlich können Domänen-Server angegeben werden.

Einträge für den Parameter „domains“ sind in dieser Form möglich:
"Browser-Domain:Domain-Controller1,Domain-Controller2".

Es können Einträge für mehrere Domains vorgenommen werden, die alle nacheinander zur Anmeldung überprüft werden. Als Trennzeichen wird ; verwendet.
Beispiel:
"Browser-Domain1:dc1,dc2;Browser-Domain2:dc3,dc4"

Über den Parameter userAgents: Hier kann ein Suchmuster angegeben werden, um die NTLM-Anmeldung nur für ausgewählte Webbrowser zu aktivieren, da NTLM einen nicht ganz standardkonformen HTTP-Header ("WWW-Authenticate: Negotiate") verwendet, den einige ältere Webbrowser als Fehler interpretieren. Um NTLM bei allen Webbrowsern zu verwenden ".*" eintragen.                      
Standardwert: ".*MSIE.*"

Das Modul unterstützt NETBIOS und Active Directory Domains. „Browser-Domain“ ist die vom Webbrowser in der Anmeldeberechtigung an den FirstSpirit-Server übergebene Domain. Bei der Anmeldung wird ein zur Browser-Domain passender Eintrag gesucht und dann die Anmeldeberechtigung zur Prüfung an den angegebenen Domain-Controller gesendet.  

Ist keine Domain eingetragen, wird die Anmeldeberechtigung unabhängig von der vom Browser übergebenen Domain immer an den/die eingetragenen Domain-Controller geprüft, Beispiel „:Domaincontroller1,Domaincontroller2“.                     

Sicherheitseinstellungen anpassen

  • Falls als Browser Mozilla Firefox verwendet wird, ist nur folgende Konfiguration sinnvoll, weil Mozilla Firefox die Domain des Benutzerkontos nicht zum Server überträgt: „:Domaincontroller1,Domaincontroller2“.
  • Falls als Browser Internet Explorer verwendet wird, sind folgende Konfigurationen sinnvoll: „:Domaincontroller1,Domaincontroller2“ oder „Browser-Domain:Domaincontroller1,Domaincontroller2“.
  • Sofern beide Browser verwendet werden sollen, können die Konfigurationen mit ; getrennt kombiniert werden.

Wichtig Falls bei Verwendung des Internet Explorers die Anmeldung mit Berechtigungsnachweis nicht funktioniert, sind die Sicherheitseinstellungen wie in der Abbildung gezeigt anzupassen. Die Benutzerauthentifizierung sollte auf „Automatische Anmeldung mit aktuellem Benutzernamen“ eingestellt sein. Zusätzlich muss der Hostname des FirstSpirit-Servers bei „Vertrauenswürdige Sites“ hinzugefügt werden.

Einstellungen im Betriebssystem zur Anpassung an das Verhalten unter NTLM(v1)

Netzwerksicherheit: LAN-Manager-Authentifizierungsebene

Nach folgender Anleitung kann das Betriebssystem auf das vorherige Verhalten umgestellt werden:

Standardeinstellung in Windows XP

  1. Anwendungstaste + R drücken
  2. secpol.msc eingeben und Enter drücken
  3. Wechsel zu „Lokale Richtlinien / Sicherheitsoptionen“ (siehe Abbildung: Netzwerksicherheit: LAN-Manager-Authentifizierungsebene)         
  4. Beim Doppelklick auf den Eintrag „Netzwerksicherheit: LAN Manager-Authentifizierungsebene“ öffnet sich ein Fenster.   
  5. Als Wert für die LAN-Authentifizierung muss in diesem Fenster NTLM zugelassen werden (siehe Abbildung: Standardeinstellung in Windows XP).
  6. Die Auswahl muss mit dem OK-Button bestätigt werden.

Wichtig Neben dem NTLM-Loginmodul steht auch das Kerberos-Loginmodul zur Verfügung. Für die Verwendung von Kerberos muss – im Gegensatz zu NTLM – keine Änderung der Einstellungen im Betriebssystem vorgenommen werden und ist die zu bevorzugende Variante.

© 2005 - 2024 Crownpeak Technology GmbH | Alle Rechte vorbehalten. | FirstSpirit 2024.13 | Datenschutz