Einführung / Konfiguration des FirstSpirit-Servers / Konfigurationsdateien (FirstSpirit-Server) / Anmeldevorgang (fs-jaas.conf) / Konfigurationsbeispiele

Konfigurationsbeispiele

Standardkonfiguration:

In Verbindung mit der Standardkonfiguration der Datei fs-jaas.conf ergibt sich z. B. für den SiteArchitect folgendes Anmeldeverfahren:

  1. Beim Aufruf der FirstSpirit-Startseite über den Webbrowser wird der Benutzer zur Eingabe des Benutzernamens und Passworts aufgefordert. Diese Daten beziehen sich auf die Einträge in der FirstSpirit-Benutzerdatenbank, die über den ServerManager verwaltet wird. Nach erfolgreicher Authentifizierung wird der Berechtigungsnachweis (Ticket) generiert, der vom Webbrowser später weitergereicht wird.
  2. Beim Starten des SiteArchitect wird der zuvor erstellte Berechtigungsnachweis vom Webbrowser über den SiteArchitect an den FirstSpirit-Server zur Prüfung weitergereicht. Es ist keine weitere Passworteingabe notwendig.
  3. Falls der Berechtigungsnachweis abgelaufen war oder nicht an den FirstSpirit-Server weitergereicht werden konnte, wird als Ausweichlösung der Benutzer vom SiteArchitect zur Passworteingabe aufgefordert.

Anmeldung an Windows-Domäne mit Verwendung von LDAP:

/* access api authentication (e.g., for remote projects) */
system {
de.espirit.firstspirit.server.authentication.FSUserLoginModule sufficient hash="true";
de.espirit.firstspirit.server.authentication.FSTicketLoginModule sufficient;
};

/* java-/admin-client authentication without sso */
plain {
de.espirit.firstspirit.server.authentication.LdapLoginModule optional section="LDAP";
de.espirit.firstspirit.server.authentication.FSUserLoginModule optional;
};

/* java-/admin-client authentication sso */
sso {
de.espirit.firstspirit.server.authentication.FSTicketLoginModule sufficient;
de.espirit.firstspirit.server.authentication.LdapLoginModule optional section="LDAP";
de.espirit.firstspirit.server.authentication.FSUserLoginModule optional;
};

/* web authentication (for preview, webedit, webmonitor) without sso */
webplain {
de.espirit.firstspirit.server.authentication.LdapLoginModule optional section="LDAP";
de.espirit.firstspirit.server.authentication.FSUserLoginModule optional;
};

/* web authentication (for preview, webedit, webmonitor) with sso */
websso {
de.espirit.firstspirit.server.authentication.FSTicketLoginModule sufficient;
//de.espirit.firstspirit.server.authentication.KerberosLoginModule optional
useFullPrincipal="false" userAgents=".*";
de.espirit.firstspirit.server.authentication.NTLMLoginModule optional
domains="E-SPIRIT:dc1.e-spirit.de,dc2.e-spirit.de;:dc1.e-spirit.de,dc2.e-spirit.de";
de.espirit.firstspirit.server.authentication.LdapLoginModule optional section="LDAP";
de.espirit.firstspirit.server.authentication.FSUserLoginModule optional;
};

//enable for KerberosLoginModule only:

//com.sun.security.jgss.accept {
// com.sun.security.auth.module.Krb5LoginModule required
// principal="HTTP/fs5.e-spirit.de@E-SPIRIT.DE"
// keyTab="/opt/firstspirit5/conf/krb5-fs5-HTTP.keytab"
// useKeyTab="true"
// storeKey="true"
// isInitiator="false"
// doNotPrompt="true"
// debug="true";
};

Ausschnitt aus der Datei /opt/firstspirit5/conf/fs-server.conf:

LDAP.NAME=e-spirit.de
LDAP.HOST_URL=ldap://dc1.e-spirit.de ldap://dc2.e-spirit.de
LDAP.SSL=FALSE
LDAP.AUTHENTICATION=SEARCH_BIND
LDAP.SEARCH.BIND_DN=ldaptechuser
LDAP.SEARCH.BIND_PASSWORD=apassword
LDAP.SEARCH.BASE_DN=DC=e-spirit,DC=de
LDAP.SEARCH.FILTER=(sAMAccountName=$USER_LOGIN$)
LDAP.IMPORT_USER=TRUE
LDAP.IMPORT_USER.GROUP_ATTRIBUTE=memberof
LDAP.IMPORT_USER.LOGIN_ATTRIBUTE=sAMAccountName
LDAP.IMPORT_USER.NAME_ATTRIBUTE=givenName,sn
LDAP.IMPORT_USER.EMAIL_ATTRIBUTE=mail
LDAP.IMPORT_USER.PHONE_ATTRIBUTE=telephoneNumber
LDAP.IMPORT_USER.ABBREVIATION_ATTRIBUTE=initials

© 2005 - 2024 Crownpeak Technology GmbH | Alle Rechte vorbehalten. | FirstSpirit 2024.12 | Datenschutz