Wiki 1stAnswer Help

User Tools

Site Tools

Trace: active_directory_authentification
admin:sysadmin:active_directory_authentification

Table of Contents

Active Directory Authentifizierung

Voraussetzungen

  1. Ein Benutzer mit Leserechten ist auf dem LDAP Server eingerichtet.
  2. Im IIs muss Windows Authentifizierung für die Login.aspx konfiguriert werden.

IIS Version < 7.0

  1. Im IIS Login.aspx → Eigenschaften → Dateisicherheit → Bearbeiten

Authentifizierungsmethoden

IIS Version >= 7.0

1stAnswer Version < 5.7

In der Web.config müssen folgende Werte hinterlegt werden: 

<add key="enableLDAPAuthentication" value="aktivierung der funktion "/>		
<add key="enableLDAPSingeSignOn" value="aktiviert oder deaktiviert die Loginpage von 1stAnswer " />
<add key="LDAPServerUrl" value=" URL zum LDAP Server (LDAP://)" />
<add key="ldapUserName" value="Benutzername des LDAP Benutzers mit Leserechte" />
<add key="ldapPassword" value="passwort" />
<add key="AllowedGroups" value="erlaubte Gruppen mit ; getrennt" />

1stAnswer Version >= 5.8

Diese Einstellungen müssen in der Administration konfiguriert werden:

  • enableLDAPAuthentication
  • enableLDAPSingleSignOn
  • LDAPServerUrl
  • ldapUserName
  • ldapPassword
  • AllowedGroups

Verhalten


Durch die Einstellung der integrierten Windows Authentifizierung wird ein Benutzername und Domäne beim Request übergeben.
Der konfigurierte LDAP Benutzer mit Leserechten wird verwendet, um Suchanfragen an den LDAP Server stellen zu können. Dieser sucht nach dem übergebenen Benutzer und prüft, ob er in mindestens einer der konfigurierten Gruppen ist.

  • Wenn keine Gruppen definiert sind, muss der Benutzer lediglich vorhanden sein.
  • Wenn der Benutzer nicht vorhanden oder in keiner der konfigurierten Gruppen ist, wird eine Fehlermeldung auf der Loginseite ausgegeben.
  • Wenn dies erfolgreich ist wird ein Benutzer mit diesem Loginnamen im 1stAnswer gesucht und direkt angemeldet. Ab hier geht is mit der Standard <font color="darkorange"><b>FormsAuthentication</b></font> weiter.

Die 1stAnswer Logik zur Prüfung des Benutzers (gültige Rolle vorhanden z.B.) besteht weiterhin, jedoch werden (selbst wenn konfiguriert) keine Passwortänderungen vom Benutzer verlangt.
Das Flag <font color="darkorange"><b>enableSingleSignOn</b></font> steuert, ob der Benutzer ohne eigene Eingaben in 1stAnswer angemeldet werden soll (SSO) oder, wenn deaktiviert, wird die Loginmaske angezeigt.
Benutzername und Passwort werden jedoch gegen LDAP authentifiziert und nicht innerhalb von 1stAnswer.

admin/sysadmin/active_directory_authentification.txt · Last modified: 2015/09/17 12:01 (external edit)

Page Tools

Except where otherwise noted, content on this wiki is licensed under the following license: CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki