Einführung / Konfiguration des FirstSpirit-Servers / Konfigurationsdateien (FirstSpirit-Server) / Anmeldevorgang (fs-jaas.conf)
Konfiguration des Anmeldevorgangs (fs-jaas.conf)
Im Unterverzeichnis conf des FirstSpirit-Servers befindet sich die Datei fs-jaas.conf, die Konfigurationseinstellungen für den Anmeldevorgang am FirstSpirit-Server enthält.
Änderungen an der Konfigurationsdatei fs-jaas.conf können über den FirstSpirit ServerManager (siehe JAAS-Konfiguration) oder über das ServerMonitoring vorgenommen werden (siehe Anmeldekonfiguration). Die Änderungen werden dann in die Konfigurationsdatei geschrieben und auf dem Server aktualisiert. Wenn Zugriff auf das Dateisystem besteht, können Änderungen an der fs-jaas.conf auch direkt über die Konfigurationsdatei erfolgen. Kommentare werden mit // eingeleitet.
Bei Änderungen der Konfigurationsdatei fs-jaas.conf über das Dateisystem wird die Datei automatisch auf dem Server aktualisiert (Standard: alle 60 Sek.). Ein Neustart des Servers ist nicht erforderlich. |
JAAS-Module
Zur Benutzerauthentifizierung verwendet FirstSpirit den Java-Standard JAAS (Java Authentication and Authorization Service). Die auf den folgenden Seiten beschriebenen JAAS-Module sind bereits in FirstSpirit integriert und stellen verschiedene Verfahren zur Benutzerauthentifizierung bereit (die Modulnamen beginnen alle mit dem Präfix de.espirit.firstspirit.server.authentication., also z. B. de.espirit.firstspirit.server.authentication.FSUserLoginModule):
JAAS-Modulname | Kurzbeschreibung |
---|---|
Passwortprüfung gegen die FirstSpirit-Benutzerdatenbank | |
Authentifizierung gegen LDAP-Server | |
Anmelde-Ticket aus FirstSpirit-Benutzerdatenbank | |
Anmelde-Ticket aus Windows-NETBIOS-Domäne (NTLM) | |
Kerberos-Ticket (Integrierte Windows-Anmeldung) | |
Anmelde-Ticket vom SAP-Server | |
Anmeldung über Windows | |
Anmeldung über den HTTP Request-Header | |
Allgemeine Hinweise zur JAAS-Konfiguration
Für alle Login-Module gilt, dass ein Benutzerkonto nach erfolgreicher Authentifizierung automatisch in das FirstSpirit-System übernommen wird. Als eindeutige Kennzeichnung wird der Anmeldename verwendet, so dass die Zuordnung von Benutzerkonten zu Projekten auch in Projektexporten gewährleistet ist.
Das automatische Anlegen von Benutzerkonten kann unterdrückt werden, indem der Parameter JAAS.autoCreateUser in die Datei fs-server.conf eingefügt und auf den Wert false gesetzt wird: JAAS.autoCreateUser=false Wird der Parameter nicht gesetzt, gilt standardmäßig der Wert true. Somit werden Benutzerkonten automatisch neu angelegt, wenn JAAS.autoCreateUser nicht gesetzt wird. |
Die Login-Module können den FirstSpirit-Komponenten SiteArchitect, ContentCreator, Webmonitor und Access-API zugeordnet werden. Zur Zuordnung werden als Zwischenschritt zunächst symbolische Namen gewählt, die dann später einzelnen FirstSpirit-Komponenten zugeordnet werden. Unter den einzelnen symbolischen Namen werden in der Datei fs-jaas.conf jeweils 1 oder mehrere Login-Module eingetragen.
Bei Eintragung mehrerer Login-Module werden diese in der angegebenen Reihenfolge abgearbeitet, bis eine erfolgreiche Authentifizierung des Benutzers erfolgt ist. Es sollte darauf geachtet werden, dass passwortlose Authentifizierungsverfahren mit Berechtigungsnachweis vor solchen mit Passwortüberprüfung eingetragen werden. Zusätzlich muss jedem Login-Modul das JAAS-Attribut optional zugewiesen werden. „Optional“ bedeutet hier, dass mindestens eines der Login-Module eine erfolgreiche Authentifizierung durchgeführt haben muss, um dem Benutzer die Anmeldung an FirstSpirit zu erlauben. Andere JAAS-Attribute wie sufficient, required oder requisite dürfen für FirstSpirit nicht verwendet werden, da ansonsten FirstSpirit-spezifische Anmeldeattribute nicht von einem Login-Modul an das nächste weitergereicht werden. Diese FirstSpirit-spezifischen Anmeldeattribute sind auch der Grund dafür, dass externe JAAS-Module nur mit einer zusätzlichen Wrapper-Klasse für FirstSpirit verwendet werden können.
Als Standardbelegung werden folgende symbolische Namen verwendet: plain, sso, webplain, websso, system.
Die Zuordnung der symbolischen Namen zu den einzelnen FirstSpirit-Komponenten geschieht in der Datei fs-server.conf über die Parameter JAAS.*.
Hier die Standardkonfiguration, wie sie während der Installation definiert wird:
JAAS=${cmsroot}/conf/fs-jaas.conf
JAAS.admin=sso
JAAS.client=sso
JAAS.system=system
JAAS.websso=websso
JAAS.webnonsso=webplain
Zuordnung der FirstSpirit-Komponenten zu den Parameternamen:
Komponente | Parametername |
---|---|
SiteArchitect | JAAS.client |
ServerManager | JAAS.admin |
alle FirstSpirit-Webanwendungen | JAAS.websso |
alle FirstSpirit-Webanwendungen | JAAS.webnonsso |
Access-API | JAAS.system |