Page tree

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

  1. Der FTAPI-Server muss auf einem Windowsaccount (und damit auch auf Windows) laufen, der Teil des Active Directory ist. Es bietet sich daher an, einen eigenen Domänenaccount für den Server anzulegen. In Folgenden folgenden Beispielen heißt dieser Account ssotomcat  ssoadmin und ist Teil der Domäne domJS.ftapi.lan (FTAPILAN), der Server läuft auf einem PC namens SSO mit der Domänen-URL SSO.dom.ftapi.lan.TEST.LAN.

    Zudem muss der FTAPI-Server bzw. die Tomcat als Windows-Dienst laufen (.bat-File/.exe-File ist nicht ausreichend!). 

    Dieser Dienst muss zudem explizit einen Benutzeraccount der Domäne benutzen. Es empfiehlt sich, den FTAPI-Server über die Tomcat GUI zu starten, diese befindet sich im Tomcat Ordner unter bin\Tomcat9w.exe. Eventuell muss diese Datei in FTAPIw.exe umbenannt werden, damit der FTAPI Tomcat Service gefunden wird.
    Es muss darauf geachtet werden, dass der Server von der GUI aus mit den richtigen Parametern (DB-Adresse/IP, DB Passwort, etc.) gestartet wird. Eine Beispielkonfiguration und wie man den Server startet sieht man in folgenden Screenshots:
    Image RemovedImage RemovedImage RemovedImage Added


  2. Konfiguration des Active Directorys
    Im FTAPI-Server muss zuerst ein gültiges Active Directory konfiguriert werden. Diese Einstellungen sind unter Administration → System → LDAP and Active Directory zu finden. Ein Neustart des Servers ist nach dem Speichern nötig.
    Um zu testen, dass das Active Directory richtig konfiguriert ist, kann man versuchen, sich mit einem Account aus eben diesem Active Directory beim FTAPI-Server anmelden.

  3. Aktivierung des Single-Sign Ons
    Diese Einstellung ist unter Administration → System → Single Sign-On zu finden. Dort muss der Single Sign-On lediglich aktiviert werden. 
    Ab jetzt wird auf der Loginseite des FTAPI-Servers der Button für den SSO angezeigt.

...

  1. Konfigurieren eines SPNs
    Öffnen von cmd.exe als Domänenadministrator

    "setspn -A HTTP/[computerServerURL]:[port] [tomcatusername]"
    wobei
    -[computerServerURL] für die Domain-URL des PCs darstellt, auf dem der Server läuft URL Ihres FTAPI Servers, (in unserem Fall SSOtestldap.dom.ftapi.lancom)
    - [port] für den Port den der Tomcat Server benutzt steht (in unserem Fall 8443443)
    - [tomcatusername] für den Domänenaccount auf dem der Server läuft (in unserem Fall ssotomcatssoadmin) steht
    Es empfiehlt sich zudem, den gleichen SPN nochmals hinzuzufügen, allerdings ohne die Portangabe.
    Wir führen also folgende Befehle aus:

    Code Block
    languagebash
    setspn -A HTTP/SSOtestldap.dom.ftapi.lancom:8443443 ssotomcatssoadmin
    setspn -A HTTP/SSOtestldap.dom.ftapi.lancom ssotomcatssoadmin

    Die Liste der SPNs (zum Nachprüfen) kann sich dann mittels

    Code Block
    languagebash
    setspn -l ssotomcatssoadmin

    angezeigt werden lassen.
    Image Added


  1. Windows-Delegationzulassen
    Dazu wird die Active Directory Benutzer und Computer Konsole (Ausführen (WIN+R) → dsa.msc) geöffnet und anschließend der Benutzer auf dem Tomcat läuft gesucht und ein Doppelklick drauf gemacht.
    Dann öffnet man den Tab Delegation, danach kreuzt man "Trust this user for delegation to specified services only" und "Use any authentication protocol" an und klickt auf "Add".
    Folgender Dialog erscheint:

    Dort klickt man auf "Users or Computers" und tippt den Usernamen des Konto auf dem Tomcat läuft ein (in unserem Fall ssotomcat) und drückt Enter. 
    Anschließend sollten die eben im ersten Schritt angelegten SPNs angezeigt werden.
    Image Removed

    Man klickt "Select All" und bestätigt mit OK. Das Ergebnis sollte so aussehen:
    Image RemovedImage Added

    Exakt das selbe Prozedere wird nun mit dem Computer ausgeführt, auf dem Tomcat läuft. Dazu geht man auf den Tab Computer in der Users and Computers Konsole und führt die selben Schritte aus.
    Das Ergebnis sieht dann so aus:
    Image RemovedImage Added

Client (Browsereinstellungen)

...