Kerberos Authentifizierung in enaio® enterprise-manager
- Team Leo
- Technische Redaktion
- Team Dodo
- Michael Peschke (Unlicensed)
Benutzernamen können in enaio® auf Basis des UPN (User Principal Name, als Beispiel 'name@mydomain.com') oder des SAM User Name (Security Accounts Manager, als Beispiel 'name') verwaltet werden. In beiden Fällen kann die Benutzerauthentifizierung in enaio® via Windows über Kerberos erfolgen. (Hinweis: technisch verlangt NTLM als Authentifizierungsmechanismus immer den SAM, Kerberos hingegen immer den UPN). Die Identifizierung des anzumeldenden Benutzers wird bei Kerberos über die Servereinstellung "Login/Namensauflösung (Kerberos)" geregelt. Steht dieser Parameter auf UPN müssen alle enaio®-Benutzer der UPN-Form genügen, steht dieser auf SAM muss für alle Benutzer der SAM verwendet werden. In der Serverregistry heißt der entsprechende Registrykey QueryNamesMethod und hat die Werte 0/1 (SAM/UPN).
Ist nun im Windows Kerberos soweit fehlerfrei konfiguriert, können die weiteren Einstellungen in der Konfiguration des enaio® server im enaio® enterprise-manager vorgenommen werden.
Hier ist Autologin auf Aktiv, sowie der SSP-Login auf Windows zu setzen, damit die Authentifizierung der Clientanwendungen gegen den Server über Windows erfolgt und nicht die serverinterne Parameter "Reihenfolge der Anmeldung" verwendet wird. Der Security Support Provider ist auf Kerberos einzustellen und entsprechend der Benamung der Benutzer im System ist die Namensauflösung (Kerberos) zu wählen.
| Eigenschaft | Wert | Wert in der Serverregistry |
|---|---|---|
| Auto-Login | Aktiv | Schema / Login / Auto-Login : 1 |
| SSP-Login | Windows | Schema / Login / NTLMLogin : 1 |
| Security Support Provider | Kerberos | Schema / Login / Support Provider : Kerberos |
| Namensauflösung (Kerberos) | UPN | Schema / Login / QueryNamesMethod : 1 |
Weiterhin muss für das Benutzerkonto des enaio® server - Dienstes bei einer Kerberos Authentifizierung ein Domänenkonto sein. Ein sonst üblicherweise verwendetes lokales Systembenutzerkonto eignet sich nicht. Für das Domänenkonto müssen genügend Rechte für das Ausführen des Dienstes gewährt werden. Zusätzlich muss für dieses Benutzerkonto in der Domäne ein passender SPN (Service Principal Name) vergeben werden.
z. B. 'enaio/myserver.mydomain.com:4000 myserver'.
'myserver.mydomain.com' ist hier der Rechner auf dem enaio® server installiert ist. Es muss hier der vollqualifizierte Name verwendet werden, auch der Port ist verpflichtend anzugeben.
Auf der Seite von enaio® client muss in der ASINIT.CFG, die in der Clientinstallation den Zielserver festlegt, anstelle des sonst üblichen IP/Rechnername mit Port der voll qualifizierte Name des entsprechenden Servers mit Port angegeben werden. Analog zu obigem Beispiel ergibt sich hier:
[ARCHIV]
Comstring=myserver.mydomain.com#4000
...
Sind diese Einstellungen gemacht und die asinit.cfg über alle clientseitigen Installationen verteilt, so kann die Anmeldung für enaio® client (auch enaio® capture, sowie die administrativen Komponenten) über Kerberos erfolgen.
Da enaio® enterprise-manager weiterhin das windowsbasierte Login verwendet, muss für diese Anwendung eine Login-Ausnahme definiert werden.