Инструкция по настройке модуля sso для Company Media X Содержание




Скачать 137.34 Kb.
Название Инструкция по настройке модуля sso для Company Media X Содержание
Тип Инструкция
rykovodstvo.ru > Инструкция по эксплуатации > Инструкция



ЗАО «Компания «ИнтерТраст»

Россия, 125319,

г. Москва, ул. Усиевича, 3

тел.: (495) 956-79-28

www.intertrust.ru





1Инструкция по настройке модуля SSO для Company Media 4.2.x


Содержание

1 Инструкция по настройке модуля SSO для Company Media 4.2.x 1

1. Общие положения 3

2. Требования к инфраструктуре 3

3. Перечень работ по настройке SSO 5


  1. Общие положения


Данная инструкция описывает установку и настройку службы общего входа SSO в CompanyMedia версии 4.1.
  1. Принятые сокращения


AD – служба каталога Microsoft Active Directory
DD – служба каталога IBM Domino Directory
SSO – служба общего входа Single sign-on
  1. Требования к инфраструктуре

    1. Требования к Версиям используемого ПО


ОС контроллера домена: Windows Server 2008

ОС сервера СМ4: Windows Server 2008

Версия Domino на сервере СМ4: Domino 8.5.3 не ниже FP1

Поддерживаемые бразуеры: IE 8,9,10,11 Google Chrome, Mozilla Firefox
  1. Требования к контроллеру Домена AD


  1. Режим работы контроллера AD: Windows Server 2008

  2. Включена служба ОС Windows Kerberos Key Distribution Center
  1. Требования к уровню Доступа в ОС


  1. Доступ в ОС Windows: администратор домена AD (для выполнения разовых настроек:создания ключей служб, предоставления доступа к локальным машинам)

  2. Доступ в Domino: администратор с full-access, доступ к адресной книге для редактирования настроек веб-сайтов, SSO

  3. Доступ в ОС серверов СМ4: доступ на уровне локального администратора, доступ на запись в каталог C:\windows (%system%)
  1. Требования к рабочим серверам Cm4:


  1. Сервер СМ4 введен в домен AD, для которого настраивается SSO

  2. A-запись в DNS: имя хоста, для которого выполняются команды ниже должно являться A-записью в DNS (не cname)

  3. Для каждой учетной записи из Active Directory:
    должна быть создана соответствующая учетная запись в каталоге Domino Directory,
    в поле krbPrincipalName в DD указано доменное имя учетной записи из Active Directory

  4. Выключена настройка «Load Internet configurations from Server\Internet Sites documents»

  5. Создан общий документ Configuration Settings ( с параметром «*» )
  1. Перечень работ по настройке SSO


Для включения SSO необходимо выполнить следующие настройки:


  • Настройки в службе каталога Active Directory: регистрация сервисных учетных записей, создание ключей служб, предоставление прав доступа на серверы СМ4

  • Настройка ОС сервера Company Media

  • Настройки сервера Domino

  • Настройки сервера приложений Tomcat

  • Настройка веб-браузеров на клиентских рабочих местах


  1. нАстройка служб каталога Active Directory


.
  1. Регистрация сервисных учетных записей


Создать сервисные учетные записи в домене AD для каждого сервера СМ4 с SSO в контейнере «Users»

Рекомендуемый формат имени: web.<dominoname>, где - имя сервера Domino, на котором будет настроен SSO

Пример: web.cmt1@vtc.local , web.cmt2@vtc.local

Важно: сервисные учетные записи регистрировать только в стандартном контейнере «Users» каталога Ad, иначе возникнут ошибки при выполнении следующих шагов.
  1. Настройка созданных учетных записей


  1. Установить свойства созданных в п.1 учетных записей с помощью оснастки Active Directory Users and Computers или ADSIEdit.

"+" отмечены флаги, к-е необходимо включить:
+user cannot change password
+password never expired
+шифрование AES128

  1. Установить новые пароли для созданных учетных записей,
    например KrbPass456

Важно: тот же пароль небоходимо использовать при генерации ключей SSO в п.3.1.3

Примечание: шаг обязателен, требуется для применения п.3.1.2.
  1. Создание ключей службы Domino и Tomcat

    1. Создание ключей .keytab


  1. запустить cmd.exe интерпретатор командной строки

  2. выполнить команду создания ключей ktpass (см. п .5 ) для настраиваемых учетных записей, серверов и домена.
    Пример выполнения команды для учетной записи web.cmt1и сервера cmt1.vtc.local
    в домене VTC.LOCAL :

ktpass -princ HTTP/cmt1.vtc.local@VTC.LOCAL -mapuser web.cmt1-pass KrbPass456 -crypto all -ptype KRB5_NT_PRINCIPAL -out http-cmt1.keytab

  1. сохранить полученные ключи (файлы *.keytab )

  2. сохранить вывод консоли в текстовый файл


3.1.3.2. описание параметров команды ktpass:


ktpass -princ HTTP/<sso.hostname>@<AD.DOMAIN> -mapuser <username> -pass <password> -crypto all -ptype KRB5_NT_PRINCIPAL -out <filename> , где:
таблица 1



Наименование параметра

Описание

Пример заполнения

1

sso.hostname

Имя сервера СМ4

cmt1.vtc.local

2

AD.Domain

Имя домена AD, заглавными буквами

VTC.LOCAL

3

username

Имя сервисной учетной записи,
без доменной части

web.cmt1

4

password

Пароль ключа

KrbPass456

5

filename

Имя создаваемого файла ключей

http-cmt1.keytab
  1. Предоставление прав доступа на серверы СМ4 созданным учетным записям


  1. На сервере CM4 добавить созданные учетные записи в локальных администраторов

  2. Настроить запуск служб "Tomcat", "Lotus Domino Server..." и "Lotus Domino Diagnostics..." от имени сервисной учетной записи, например "web.cmt1".

  3. При выборе учетной записи будет подставлена запись формата HTTP\@vtc.local. Заменить на доменное имя пользователя: web.cmt1@vtc.local

  4. убедиться, что появилось сообщение "the account has been granted the logon as a service right"

  5. перезапустить службы Domino и Tomcat на сервере СМ4
  1. Настройка ОС сервера CompanyMedia


  1. Создать файл с именем krb5.ini


Содержимое файла:

содержимое файла krb5.ini для домена vtc.local и контроллера домена pdc1.vtc.local
(заменить параметры на имя рабочего домена и имя хоста контроллера домена)

Пример для домена vtc.local:
[libdefaults]

default_realm = VTC.LOCAL

permitted_enctypes = aes128-cts rc4-hmac des3-cbc-sha1 arcfour-hmac-md5 des-cbc-md5 des-cbc-crc

default_tgs_enctypes = aes128-cts rc4-hmac des3-cbc-sha1 arcfour-hmac-md5 des-cbc-md5 des-cbc-crc

default_tkt_enctypes = aes128-cts rc4-hmac des3-cbc-sha1 arcfour-hmac-md5 des-cbc-md5 des-cbc-crc
ticket_lifetime = 600

kdc_timesync = 1

ccache_type = 4
[realms]

FSINTST.LOCAL = {

kdc = pdc1.vtc.local

admin_server = pdc1.vtc.local

default_domain = VTC.LOCAL

}
[domain_realm]

.vtc.local = VTC.LOCAL

vtc.local = VTC.LOCAL
[appdefaults]
autologin = true

forward = true

forwardable = true

encrypt = true



  1. Скопировать созданный файл krb5.ini на сервер СМ4 в каталог Windows (C:\windows)


  1. Настройка сервера Domino



  1. Настройка задачи LDAP





  1. В документе "Configuration Settings" для всех серверов (*) на вкладке LDAP включить настройку:




DN Required on Bind?

No

(отвечает за формат привязки к LDAP, разрешает использование формата cn=username)


  1. Проверить с помощью команды ldapsearch поиск из LDAP Domino.
    Поиск должен возвращать все учетные записи пользователей Domino:
    C:\Lotus\Notes>ldapsearch.exe -h 169.254.52.1 -D "cn=ldapuser,o=intertrust" -w "password456" -b "o=Intertrust" "(cn=*)"



  1. Настройка задачи HTTP:





  1. отключить настройку в док-те сервера load configuration from internet sites

  2. настроить host name на вкладке HTTP : cma01.vtc.local

  3. создать конфигурацию SSO для сервер-док-та аналогично скриншоту:


Configuration Name: произвольно

Organization: не заполнять

DNS Domain: .vtc.local

Domino Server Names: CMT01/VTC

Windows single sign-on integration : Enabled
рис. 3.1



  1. Создать ключи SSO для созданной конфигурации: нажать кнопку «Create WebSSO keys»

  2. Настроить вкладку Domino Web Engine аналогично рис.3.2 (Session Authentication: Multiple Servers)

  3. Выбрать полученный документ LTPA Token в п Web SSO Configuration

  4. (Проверить, создалась ли настройка LTPA Token можно в АК Domino, вид $WebSSOConfig)


рис. 3.2




  1. Для отладки в notes.ini сервера Domino установить переменные (выключить после успешной проверки)


DEBUG_HTTP_SERVER_SPNEGO=5

DEBUG_LDAP=7

DEBUG_SSO_TRACE_LEVEL=2

WEBAUTH_VERBOSE_TRACE=1


  1. Добавить переменную в notes.ini сервера

WIDE_SEARCH_FOR_KERBEROS_NAMES=1


  1. Создать полнотекстовый индекс для АК Домино.



  1. Настройка сервера приложений Tomcat

    1. Копирование ключей *.keytab в каталог lib


Скопировать файл *.keytab, полученные в пп 3.1.3 в папку tomcat\lib
  1. Установка библиотек для поддержки русских имен пользователей (в поле user name)


Распаковать из cmjrest.war файла или извлечь из папки /work в /endorsed

файлы с именем:
icu4j-50.1.1-RELEASE.jar
icu4j-charset-50.1.1-RELEASE.jar
  1. Настройка файла cmj.properties


В файле cmj.properties заполнить все поля секции cmj.auth.*

Пример заполнения для домена vtc.local:

cmj.auth.profile=kerberos

cmj.auth.kerberos.ses.servicePrincipal=HTTP/cmt1.vtc.local

cmj.auth.kerberos.ses.keyTabLocation=classpath:http-cmt1.keytab

cmj.auth.kerberos.ses.debug=true

cmj.auth.kerberos.domino.ldapUrl=ldap://169.254.52.8:389

cmj.auth.kerberos.domino.base=

cmj.auth.kerberos.domino.userDn=ldapuser

cmj.auth.kerberos.domino.userPassword=Password456

cmj.auth.kerberos.domino.pooled=true

cmj.auth.kerberos.ses.useCanonicalName=true

cmj.auth.kerberos.ses.webSSOConfigName=LtpaToken

Таблица 2. Подробное описание параметров аутентификации в cmj.properties:



Наименование параметра

Заполнение

Описание

1

cmj.auth.profile

kerberos

влючить SSO

2

cmj.auth.kerberos.ses.servicePrincipal

HTTP/cm4demo01.fsintst.local

SPN-имя для хоста, где работает домино

3

cmj.auth.kerberos.ses.keyTabLocation

classpath:http-cmt1.keytab

путь и имя сгенерированного keytab-файла.
в указанном ниже варианте - файл находится в /lib

4

cmj.auth.kerberos.ses.debug

true

вывод более подробной информации о процессе соединения

5

cmj.auth.kerberos.domino.ldapUrl

ldap://169.254.52.8:389

url-адрес, где находится Domino/Ldap-сервис (резерв.)

6

cmj.auth.kerberos.domino.base




"база" для поиска в LDAP. может быть пустой

7

cmj.auth.kerberos.domino.userDn

LdapUser

Distinguished-имя (логин), под которым tomcat-будет устанавливать соединение с Domino

8

cmj.auth.kerberos.domino.userPassword

Password456

пароль для userDn

9

cmj.auth.kerberos.domino.pooled

true

использовать пул соединений. повышает производительность

10

cmj.auth.kerberos.ses.useCanonicalName

true




11

cmj.auth.kerberos.ses.webSSOConfigName

LtpaToken





  1. Настройка журналирования


  1. Скопировать файл log4j.xml в папку /lib. Содержимое файла указано в приложении 1.

  2. Исправить путь к файлу журналирования в скопированном файле:

    C:/tomcat/logs/cmj4.log"/>


  1. Настройка веб-браузеров на клиентских рабочих месах



  1. Настройка браузеров Internet Explorer, Google Chrome


Обеспечить выполнение следующих действий вручную или с помощью политик AD:

  1. сервис/свойства обозревателя/безопасность/"местная интрасеть"

  2. нажать узла/дополнительно/добавить имя хоста сервера СМ4, например: "http://cmt1.vtc.local/" и выключить требование https

  3. нажать другой: проверка подлинности пользователя/вход выбрать "автоматический вход в сеть только в зоне интрасети"
  1. Настройка браузеров Internet Explorer, Google Chrome


  1. В строке браузера ввести : about:config

  2. Открыть параметр «network.negotiate-auth.trusted-uris»

  3. Ввести имя хоста сервера СМ4
  1. Проверка работоспособности настроек


  1. Выбрать учетную запись в Active Directory для тестов, пример: t.lapina@vtc.local

  2. В Domino Directory выбрать или создать тестового пользователя в формате:

Настроить в СМ4
first name : Татьяна Николаевна

last name : Лапина

logon : t.lapina


  1. в поле krbPrinicpalName записать UPN уч.записи ( формат t.lapina@vtc.local )

  2. В БД делопроизводства выбрать или создать РКК, доступный тестируемому пользователю

  3. Записать UNID документа и ReplicaID БД, в к-й содержится документ

  4. перейти по URL вида: http://cmt01.vtc.local/cmjrest/api/ids/44257A620030FB24:C6076C28B7A4C5FF44257C010039B61A

  5. ожидаемый результат - появление диалога сохранения файла без запроса пароля

определения:

Правила формирования ссылки для проверки:
http://<hostname>/cmjrest/api/ids/<repldbid>:<rkkunid>
где :
- имя хоста сервера Tomcat

<repldbid> - реплика БД делопроизводства
- UNID РКК в БД делопроизводства

Приложение 1. Файл Log4j.xml




http://logging.apache.org/log4j/1.2/apidocs/org/apache/log4j/PatternLayout.html

value="%p %c: %m%n"

%p - priority - "info"

%c - category (class) - "ru.intertrust.cmj.fdnd.temp.ecmSync.SyncModel"

%m - message

%n - EOL

value="%p %m%n"

-->


-->








-->

-->




















































































































-->














Корневой logger WARN -->



-->








Версия от 03.07.2014


Похожие:

Инструкция по настройке модуля sso для Company Media X Содержание icon Инструкция по настройке модуля Voip на Eltex nte-rg 1402G(g-w) ревизия...
Настройте сетевую карту : ip адрес: 192. 168 X (X – любое число в диапазоне 2-255)
Инструкция по настройке модуля sso для Company Media X Содержание icon Инструкция по созданию сетевого хранилища off-line модуля подготовки отчетов-эвф
Данный документ описывает порядок действий сотрудника организации по созданию и настройке сетевого хранилища для offline модуля
Инструкция по настройке модуля sso для Company Media X Содержание icon Паспорт программы профессионального модуля результаты освоения профессионального модуля
Структура и примерное содержание профессионального модуля Рабочей профессии 190631 Техническое обслуживание и ремонт автомобильного...
Инструкция по настройке модуля sso для Company Media X Содержание icon Руководство по продукту Содержание Введение 3 Установка модуля «1с-битрикс: Модуль карт»
Руководство предназначено для пользователей модуля «1с-битрикс: Модуль карт». В документе рассматриваются процедуры установки модуля,...
Инструкция по настройке модуля sso для Company Media X Содержание icon Инструкция по компиляции Модуля Для получения Модуля следует использовать приводимую ниже схему
Ркс представлен в виде исходного текста, предназначенного для последующей компиляции (сборки) Исполняемого модуля подготовки данных...
Инструкция по настройке модуля sso для Company Media X Содержание icon Оао «нк «Роснефть» / Oil Company Rosneft содержание / table of contents
Уведомление о прекращении и порядок прекращения договора / termination notice and termination procedure 14
Инструкция по настройке модуля sso для Company Media X Содержание icon Инструкция по настройке «имени пользователя» и «пароля» для adsl-модемов
Для доступа к настройке модема запустит веб-браузер (например Internet Explorer). В адресной строке наберите 192. 168 1
Инструкция по настройке модуля sso для Company Media X Содержание icon Руководство по продукту Содержание Введение 22 Установка модуля «1с-битрикс:...
Все стандартные иконки можно посмотреть в файлах, содержащихся в папке /install/images/bitrix map. Настройки модуля 26
Инструкция по настройке модуля sso для Company Media X Содержание icon Инструкция по настройке и проверке исполнений модуля управляющего...
Проверка блока авлг 575. 25. 00-10 проводится с программным обеспечением версии 180AM151 012 090202
Инструкция по настройке модуля sso для Company Media X Содержание icon Инструкция по установке и настройке модуля учета начислений подсистемы...
Для обеспечения работы сервера приложений должен быть установлен web-сервер со следующими характеристиками: 5
Инструкция по настройке модуля sso для Company Media X Содержание icon Инструкция по установке и настройке модуля oos для Ecwid Для успешной...
В разделе Платежная система из выпадающего списка выберите значение Credit Card: Authorize. Net Sim и нажмите справа от поля кнопку...
Инструкция по настройке модуля sso для Company Media X Содержание icon Инструкция по разграничению прав доступа на пк и настройке средств...
Создание дополнительной учетной записи необходимо для разграничения прав доступа к пк. Под учетной записью «Гость» вы сможете установить...
Инструкция по настройке модуля sso для Company Media X Содержание icon Инструкция по настройке интеграции с Официальным сайтом РФ для размещения...
Инструкция по настройке интеграции с Официальным сайтом РФ для размещения информации об учреждении
Инструкция по настройке модуля sso для Company Media X Содержание icon Инструкция по настройке интеграции с Официальным сайтом РФ для размещения...
Инструкция по настройке интеграции с Официальным сайтом РФ для размещения информации об учреждении
Инструкция по настройке модуля sso для Company Media X Содержание icon Инструкция по настройке беспроводного соединения для студентов и...
Инструкция по настройке беспроводного соединения для студентов и сотрудников вгуэс в ms windows 7
Инструкция по настройке модуля sso для Company Media X Содержание icon Инструкция по установке скзи «КриптоПро» версии 0 и её настройке...
Инструкция по установке скзи «КриптоПро» версии 0 и её настройке для работы с ключевыми носителями Aladdin eToken

Руководство, инструкция по применению






При копировании материала укажите ссылку © 2024
контакты
rykovodstvo.ru
Поиск