Einführung / Konfiguration des FirstSpirit-Servers / Konfigurationsdateien (FirstSpirit-Server) / Anmeldevorgang (fs-jaas.conf) / Konfigurationsbeispiele
Konfigurationsbeispiele
Standardkonfiguration:
In Verbindung mit der Standardkonfiguration der Datei fs-jaas.conf ergibt sich z. B. für den SiteArchitect folgendes Anmeldeverfahren:
- Beim Aufruf der FirstSpirit-Startseite über den Webbrowser wird der Benutzer zur Eingabe des Benutzernamens und Passworts aufgefordert. Diese Daten beziehen sich auf die Einträge in der FirstSpirit-Benutzerdatenbank, die über den ServerManager verwaltet wird. Nach erfolgreicher Authentifizierung wird der Berechtigungsnachweis (Ticket) generiert, der vom Webbrowser später weitergereicht wird.
- Beim Starten des SiteArchitect wird der zuvor erstellte Berechtigungsnachweis vom Webbrowser über den SiteArchitect an den FirstSpirit-Server zur Prüfung weitergereicht. Es ist keine weitere Passworteingabe notwendig.
- Falls der Berechtigungsnachweis abgelaufen war oder nicht an den FirstSpirit-Server weitergereicht werden konnte, wird als Ausweichlösung der Benutzer vom SiteArchitect zur Passworteingabe aufgefordert.
Anmeldung an Windows-Domäne mit Verwendung von LDAP:
/* access api authentication (e.g., for remote projects) */
system {
de.espirit.firstspirit.server.authentication.FSUserLoginModule sufficient hash="true";
de.espirit.firstspirit.server.authentication.FSTicketLoginModule sufficient;
};
/* java-/admin-client authentication without sso */
plain {
de.espirit.firstspirit.server.authentication.LdapLoginModule optional section="LDAP";
de.espirit.firstspirit.server.authentication.FSUserLoginModule optional;
};
/* java-/admin-client authentication sso */
sso {
de.espirit.firstspirit.server.authentication.FSTicketLoginModule sufficient;
de.espirit.firstspirit.server.authentication.LdapLoginModule optional section="LDAP";
de.espirit.firstspirit.server.authentication.FSUserLoginModule optional;
};
/* web authentication (for preview, webedit, webmonitor) without sso */
webplain {
de.espirit.firstspirit.server.authentication.LdapLoginModule optional section="LDAP";
de.espirit.firstspirit.server.authentication.FSUserLoginModule optional;
};
/* web authentication (for preview, webedit, webmonitor) with sso */
websso {
de.espirit.firstspirit.server.authentication.FSTicketLoginModule sufficient;
//de.espirit.firstspirit.server.authentication.KerberosLoginModule optional
useFullPrincipal="false" userAgents=".*";
de.espirit.firstspirit.server.authentication.NTLMLoginModule optional
domains="E-SPIRIT:dc1.e-spirit.de,dc2.e-spirit.de;:dc1.e-spirit.de,dc2.e-spirit.de";
de.espirit.firstspirit.server.authentication.LdapLoginModule optional section="LDAP";
de.espirit.firstspirit.server.authentication.FSUserLoginModule optional;
};
//enable for KerberosLoginModule only:
//com.sun.security.jgss.accept {
// com.sun.security.auth.module.Krb5LoginModule required
// principal="HTTP/fs5.e-spirit.de@E-SPIRIT.DE"
// keyTab="/opt/firstspirit5/conf/krb5-fs5-HTTP.keytab"
// useKeyTab="true"
// storeKey="true"
// isInitiator="false"
// doNotPrompt="true"
// debug="true";
};
Ausschnitt aus der Datei /opt/firstspirit5/conf/fs-server.conf:
LDAP.NAME=e-spirit.de
LDAP.HOST_URL=ldap://dc1.e-spirit.de ldap://dc2.e-spirit.de
LDAP.SSL=FALSE
LDAP.AUTHENTICATION=SEARCH_BIND
LDAP.SEARCH.BIND_DN=ldaptechuser
LDAP.SEARCH.BIND_PASSWORD=apassword
LDAP.SEARCH.BASE_DN=DC=e-spirit,DC=de
LDAP.SEARCH.FILTER=(sAMAccountName=$USER_LOGIN$)
LDAP.IMPORT_USER=TRUE
LDAP.IMPORT_USER.GROUP_ATTRIBUTE=memberof
LDAP.IMPORT_USER.LOGIN_ATTRIBUTE=sAMAccountName
LDAP.IMPORT_USER.NAME_ATTRIBUTE=givenName,sn
LDAP.IMPORT_USER.EMAIL_ATTRIBUTE=mail
LDAP.IMPORT_USER.PHONE_ATTRIBUTE=telephoneNumber
LDAP.IMPORT_USER.ABBREVIATION_ATTRIBUTE=initials