Einmalige Anmeldung über SPNEGO aktivieren

Über SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) können Sie die einmalige Anmeldung (SSO) aktivieren, wenn Sie Active Directory als LDAP-Server in einer Windows-Umgebung verwenden. Wenn die einmalige Anmeldung aktiviert ist, sind die AEM Forms-Seiten für die Benutzeranmeldung nicht erforderlich und werden nicht angezeigt.

Sie können die einmalige Anmeldung auch über HTTP-Kopfzeilen aktivieren. (Siehe Einmalige Anmeldung (Single Sign-On, SSO) über HTTP-Kopfzeilen aktivieren .)

  1. Legen Sie die Domäne fest, in der die einmalige Anmeldung aktiviert werden soll. Der AEM Forms-Server und die Benutzer müssen alle zur selben Windows-Domäne bzw. vertrauenswürdigen Domäne gehören.

  2. Erstellen Sie in Active Directory einen Benutzer, der den AEM Forms-Server repräsentiert. (Siehe Benutzerkonto erstellen .) Wenn Sie mehr als eine Domäne zum Verwenden von SPNEGO konfigurieren, stellen Sie sicher, dass die Kennwörter für jeden einzelnen Benutzer verschieden sind. Wenn die Kennwörter nicht verschieden sind, kann SPNEGO nicht verwendet werden.

  3. Weisen Sie den Dienstprinzipalnamen zu. (Siehe Dienstprinzipalnamen (SPN) zuweisen .)

  4. Konfigurieren Sie den Domänencontroller. (Siehe Fehler bei der Kerberos-Integritätsprüfung verhindern .)

  5. Anschließend müssen Sie eine Unternehmensdomäne hinzufügen oder bearbeiten (siehe Domänen hinzufügen oder Bestehende Domänen bearbeiten und konvertieren ). Führen Sie beim Erstellen oder Bearbeiten der Unternehmensdomäne die folgenden Aufgaben aus:

    • Erstellen oder bearbeiten Sie einen Ordner, der Ihre Active Directory-Informationen enthält.

    • Fügen Sie LDAP als Authentifizierungsanbieter hinzu.

    • Fügen Sie Kerberos als Authentifizierungsanbieter hinzu. Geben Sie auf der Seite „Neu“ oder „Authentifizierung bearbeiten“ für Kerberos die folgenden Informationen ein:

      • Authentifizierungsanbieter: Kerberos

      • DNS-IP: Die DNS-IP-Adresse des Servers, auf dem AEM Forms ausgeführt wird. Sie können diese IP-Adresse bestimmen, indem Sie ipconfig/all in die Befehlszeile eingeben.

      • KDC-Host: Der voll qualifizierte Hostname bzw. die IP-Adresse des für die Authentifizierung verwendeten Active Directory-Servers.

      • Dienstbenutzer: Der an das Tool KtPass übergebene Dienstprinzipalname. In dem zuvor verwendeten Beispiel ist der Dienstbenutzer HTTP/lcserver.um.lc.com .

      • Dienstbereich: Der Domänenname für Active Directory. In dem zuvor verwendeten Beispiel ist der Domänenname UM.LC.COM.

      • Dienstkennwort: Das Kennwort des Dienstbenutzers. In dem zuvor verwendeten Beispiel ist das Dienstkennwort password .

      • SPNEGO aktivieren: Aktiviert die Verwendung von SPNEGO für die einmalige Anmeldung (SSO). Aktivieren Sie diese Option.

  6. Konfigurieren Sie SPNEGO-Clientbrowsereinstellungen. (Siehe SPNEGO-Clientbrowsereinstellungen konfigurieren .)

Benutzerkonto erstellen

  1. Sie müssen in SPNEGO einen Dienst als Benutzer in Active Directory auf dem Domänencontroller registrieren, der AEM Forms repräsentiert. Wechseln Sie auf dem Domänencontroller zu „Start“ > „Verwaltung“ > „Active Directory-Benutzer und -Computer“. Wenn der Eintrag nicht im Startmenü vorhanden ist, verwenden Sie die Systemsteuerung.

  2. Klicken Sie auf den Ordner „Benutzer“, um eine Liste der Benutzer anzuzeigen.

  3. Klicken Sie mit der rechten Maustaste auf den Benutzerordner und wählen Sie „Neu“ > „Benutzer“.

  4. Geben Sie den Vornamen/Nachnamen und den Benutzeranmeldenamen ein und klicken Sie auf „Weiter“. Legen Sie beispielsweise folgende Werte fest:

    • Vorname : umspnego

    • Benutzeranmeldename: spnegodemo

  5. Geben Sie ein Kennwort ein. Legen Sie es beispielsweise auf password fest. Stellen Sie sicher, dass nur „Kennwort läuft nie ab“ und keine anderen Optionen aktiviert sind.

  6. Klicken Sie auf „Weiter“ und dann auf „Fertig stellen“.

Dienstprinzipalnamen (SPN) zuweisen

  1. Besorgen Sie sich das Dienstprogramm „KtPass“. Mit dessen Hilfe wird ein SPN einem Bereich zugewiesen. Sie können das Dienstprogramm „KtPass“ als Teil des Windows Server Tool Packs oder Resource Kits erhalten. (Siehe Windows Server 2003 Service Pack 1 Support Tools .)

  2. Führen Sie an einer Eingabeaufforderung den Befehl ktpass mit folgenden Argumenten aus:

    ktpass -princ HTTP/ Host @ BEREICH –mapuser Benutzer

    Geben Sie beispielsweise folgenden Text ein:

    ktpass -princ HTTP/lcserver.um.lc.com@UM.LC.COM -mapuser spnegodemo

    Die Argumente, die Sie bereitstellen müssen, lauten wie folgt:

    Host: Voll qualifizierter Name des Formularservers oder eine eindeutige URL. In diesem Beispiel ist er auf „lcserver.um.lc.com“ festgelegt.

    BEREICH: Der Active Directory-Bereich für den Domänencontroller. In diesem Beispiel ist der Wert auf „UM.LC.COM“ festgelegt. Stellen Sie sicher, dass der Bereich in Großbuchstaben eingegeben wird. Führen Sie die folgenden Schritte aus, um den Bereich für Windows 2003 zu bestimmen:

    • Klicken Sie mit der rechten Maustaste auf „Arbeitsplatz“ und wählen Sie „Eigenschaften“.

    • Klicken Sie auf die Registerkarte „Computername“. Der Wert von „Domänenname“ ist der Bereichsname.

    Benutzer: Der Anmeldename des in der vorherigen Aufgabe erstellten Benutzerkontos. In diesem Beispiel ist er auf „spnegodemo“ festgelegt.

Wenn dieser Fehler auftritt: 

DsCrackNames returned 0x2 in the name entry for spnegodemo.  
ktpass:failed getting target domain for specified user.

Versuchen Sie, den Benutzer als „spnegodemo@um.lc.com“ anzugeben: 

ktpass -princ HTTP/lcserver.um.lc.com@UM.LC.COM -mapuser spnegodemo

Fehler bei der Kerberos-Integritätsprüfung verhindern

  1. Wechseln Sie auf dem Domänencontroller zu „Start“ > „Verwaltung“ > „Active Directory-Benutzer und -Computer“. Wenn der Eintrag nicht im Startmenü vorhanden ist, verwenden Sie die Systemsteuerung.

  2. Klicken Sie auf den Ordner „Benutzer“, um eine Liste der Benutzer anzuzeigen.

  3. Klicken Sie mit der rechten Maustaste auf das in der vorherigen Aufgabe erstellte Benutzerkonto. In diesem Beispiel ist das Benutzerkonto spnegodemo .

  4. Klicken Sie auf „Kennwort zurücksetzen“.

  5. Geben Sie dasselbe Kennwort wie das zuvor eingegebene ein und bestätigen Sie es durch erneute Eingabe. In diesem Beispiel ist es auf password festgelegt.

  6. Deaktivieren Sie die Option „Benutzer muss Kennwort bei der nächsten Anmeldung ändern“ und klicken Sie dann auf „OK“.

SPNEGO-Clientbrowsereinstellungen konfigurieren

Damit die SPNEGO-basierte Authentifizierung funktioniert, muss der Clientcomputer zu der Domäne gehören, in der das Benutzerkonto erstellt wurde. Sie müssen außerdem den Clientbrowser so konfigurieren, dass SPNEGO-basierte Authentifizierung zulässig ist. Ebenso muss die Site, die SPNEGO-basierte Authentifizierung erfordert, eine vertrauenswürdige Site sein.

Wenn unter Verwendung des Computernamens, z. B. http://lcserver:8080 , auf den Server zugegriffen wird, sind keine Einstellungen für Internet Explorer erforderlich. Wenn Sie eine URL eingeben, die keine Punkte („.“) enthält, wird diese Site von Internet Explorer als lokale Intranetsite behandelt. Bei Verwendung eines voll qualifizierten Namens für die Site muss diese als vertrauenswürdige Site hinzugefügt werden.

Internet Explorer 6.x konfigurieren

  1. Wechseln Sie zu „Extras“ > „Internetoptionen“ und klicken Sie auf die Registerkarte „Sicherheit“.

  2. Klicken Sie auf das Symbol „Lokales Intranet“ und klicken Sie auf „Websites“.

  3. Klicken Sie auf „Erweitert“ und geben Sie in das Feld „Diese Website zur Zone hinzufügen“ die URL Ihres Formularservers ein. Beispiel: http://lcserver.um.lc.com

  4. Klicken Sie wiederholt auf „OK“, bis alle Dialogfelder geschlossen sind.

  5. Testen Sie die Konfiguration durch Zugriff auf die URL Ihres AEM Forms-Servers. Geben Sie beispielsweise das Adressfeld des Browsers http://lcserver.um.lc.com:8080/um/login?um_no_redirect=true ein.

Mozilla Firefox konfigurieren

  1. Geben Sie in das Adressfeld des Browsers about:config ein.

    Das Mozilla Firefox-Dialogfeld „about:config“ wird angezeigt.

  2. Geben Sie in das Feld „Filter“ den Wert negotiate ein.

  3. Klicken Sie in der angezeigten Liste auf „network.negotiate-auth.trusted-uris“ und geben Sie einen der folgenden Befehle Ihrer Umgebung entsprechend ein:

    .um.lc.com – Hierdurch wird Firefox so konfiguriert, dass SPNEGO für alle URLs, die auf „um.lc.com“ enden, zugelassen wird. Stellen Sie sicher, dass der Punkt („.“) am Anfang mit eingegeben wird.

    lcserver.um.lc.com – Hierdurch wird Firefox so konfiguriert, dass SPNEGO nur für bestimmte Server zugelassen wird. Beginnen Sie diesen Wert nicht mit einem Punkt („.“).

  4. Testen Sie die Konfiguration durch Zugriff auf die Anwendung. Die Begrüßungsseite der Zielanwendung sollte angezeigt werden.