Einführung / Konfiguration des FirstSpirit-Servers / Konfigurationsdateien (FirstSpirit-Server) / Anmeldevorgang (fs-jaas.conf)

Konfiguration des Anmeldevorgangs (fs-jaas.conf)

Im Unterverzeichnis conf des FirstSpirit-Servers befindet sich die Datei fs-jaas.conf, die Konfigurationseinstellungen für den Anmeldevorgang am FirstSpirit-Server enthält.

Änderungen an der Konfigurationsdatei fs-jaas.conf können über den FirstSpirit ServerManager (siehe JAAS-Konfiguration) oder über das ServerMonitoring vorgenommen werden (siehe Anmeldekonfiguration). Die Änderungen werden dann in die Konfigurationsdatei geschrieben und auf dem Server aktualisiert. Wenn Zugriff auf das Dateisystem besteht, können Änderungen an der fs-jaas.conf auch direkt über die Konfigurationsdatei erfolgen. Kommentare werden mit // eingeleitet.

Wichtig Bei Änderungen der Konfigurationsdatei fs-jaas.conf über das Dateisystem wird die Datei automatisch auf dem Server aktualisiert (Standard: alle 60 Sek.). Ein Neustart des Servers ist nicht erforderlich.

JAAS-Module

Zur Benutzerauthentifizierung verwendet FirstSpirit den Java-Standard JAAS (Java Authentication and Authorization Service). Die auf den folgenden Seiten beschriebenen JAAS-Module sind bereits in FirstSpirit integriert und stellen verschiedene Verfahren zur Benutzerauthentifizierung bereit (die Modulnamen beginnen alle mit dem Präfix de.espirit.firstspirit.server.authentication., also z. B. de.espirit.firstspirit.server.authentication.FSUserLoginModule):

JAAS-Modulname
(de.espirit.firstspirit.server.authentication.[...])

Kurzbeschreibung

FSUserLoginModule

Passwortprüfung gegen die FirstSpirit-Benutzerdatenbank

LdapLoginModule

Authentifizierung gegen LDAP-Server

FSTicketLoginModule

Anmelde-Ticket aus FirstSpirit-Benutzerdatenbank

NTLMLoginModule

Anmelde-Ticket aus Windows-NETBIOS-Domäne (NTLM)

KerberosLoginModule

Kerberos-Ticket (Integrierte Windows-Anmeldung)

SAPLoginModule

Anmelde-Ticket vom SAP-Server

WindowsLoginModule

Anmeldung über Windows

RequestHeaderLoginModule

Anmeldung über den HTTP Request-Header

  

Allgemeine Hinweise zur JAAS-Konfiguration

Für alle Login-Module gilt, dass ein Benutzerkonto nach erfolgreicher Authentifizierung automatisch in das FirstSpirit-System übernommen wird. Als eindeutige Kennzeichnung wird der Anmeldename verwendet, so dass die Zuordnung von Benutzerkonten zu Projekten auch in Projektexporten gewährleistet ist.

Wichtig Das automatische Anlegen von Benutzerkonten kann unterdrückt werden, indem der Parameter JAAS.autoCreateUser in die Datei fs-server.conf eingefügt und auf den Wert false gesetzt wird: 

JAAS.autoCreateUser=false

Wird der Parameter nicht gesetzt, gilt standardmäßig der Wert true. Somit werden Benutzerkonten automatisch neu angelegt, wenn JAAS.autoCreateUser nicht gesetzt wird.

Die Login-Module können den FirstSpirit-Komponenten SiteArchitect, ContentCreator, Webmonitor und Access-API zugeordnet werden. Zur Zuordnung werden als Zwischenschritt zunächst symbolische Namen gewählt, die dann später einzelnen FirstSpirit-Komponenten zugeordnet werden. Unter den einzelnen symbolischen Namen werden in der Datei fs-jaas.conf jeweils 1 oder mehrere Login-Module eingetragen.

Bei Eintragung mehrerer Login-Module werden diese in der angegebenen Reihenfolge abgearbeitet, bis eine erfolgreiche Authentifizierung des Benutzers erfolgt ist. Es sollte darauf geachtet werden, dass passwortlose Authentifizierungsverfahren mit Berechtigungsnachweis vor solchen mit Passwortüberprüfung eingetragen werden. Zusätzlich muss jedem Login-Modul das JAAS-Attribut optional zugewiesen werden. „Optional“ bedeutet hier, dass mindestens eines der Login-Module eine erfolgreiche Authentifizierung durchgeführt haben muss, um dem Benutzer die Anmeldung an FirstSpirit zu erlauben. Andere JAAS-Attribute wie sufficient, required oder requisite dürfen für FirstSpirit nicht verwendet werden, da ansonsten FirstSpirit-spezifische Anmeldeattribute nicht von einem Login-Modul an das nächste weitergereicht werden. Diese FirstSpirit-spezifischen Anmeldeattribute sind auch der Grund dafür, dass externe JAAS-Module nur mit einer zusätzlichen Wrapper-Klasse für FirstSpirit verwendet werden können.

Als Standardbelegung werden folgende symbolische Namen verwendet: plain, sso, webplain, websso, system.

Die Zuordnung der symbolischen Namen zu den einzelnen FirstSpirit-Komponenten geschieht in der Datei fs-server.conf über die Parameter JAAS.*.

Hier die Standardkonfiguration, wie sie während der Installation definiert wird:

JAAS=${cmsroot}/conf/fs-jaas.conf
JAAS.admin=sso
JAAS.client=sso
JAAS.system=system
JAAS.websso=websso
JAAS.webnonsso=webplain

Zuordnung der FirstSpirit-Komponenten zu den Parameternamen:

Komponente

Parametername

SiteArchitect

JAAS.client

ServerManager

JAAS.admin

alle FirstSpirit-Webanwendungen
(ContentCreator, Startseite, ServerMonitoring)
mit Authentifizierung über SSO

JAAS.websso

alle FirstSpirit-Webanwendungen
(ContentCreator, Startseite, ServerMonitoring)
ohne Authentifizierung über SSO

JAAS.webnonsso

Access-API

JAAS.system 

  

© 2005 - 2024 Crownpeak Technology GmbH | Alle Rechte vorbehalten. | FirstSpirit 2024.13 | Datenschutz