Konfiguration für LDAP mit Kerberos

Lesen Sie, wie Sie Ihr Serviceware Authenticator-System mit LDAP mit Kerberos verbinden.

Die beschriebene Verbindung wird mit Hilfe des ktpass-Tools ausgeführt. Die Ausführung ändert für das im Parameter -mapUser genannte Dienstekonto das zugeordnete Benutzer-Passwort auf den im Parameter -pass angegebenen Wert. Außerdem wird der im Benutzerkonto gespeicherte Kerberos-Benutzerschlüssels neu generiert. Das kann Auswirkungen auf Ihre bestehende Konfiguration haben.
WARNUNG: Falls das Dienstkonto zum Zeitpunkt der Ausführung des ktpass-Tools bereits in Gebrauch ist, kann dies zu unerwünschtem Verhalten bei der Authentifizierung und Kontoverwaltung führen. Das kann zur Beeinträchtigung laufender Serveranwendungen, deren aktueller Sicherheitskontext durch die Passwortänderung ungültig wird, führen.
Um den Serviceware Authenticator zusammen mit LDAP mit Kerberos zu nutzen, führen Sie die folgenden Schritte aus.

Diesen können Sie dann im nächsten Schritt verwenden.

  1. Legen Sie im ActiveDirectoy einen Service User an.
  2. Konfigurieren Sie nun den Windows Dienst Serviceware Authenticator so, dass er im Benutzerkontext mit dem in Schritt 1 dafür angelegten Benutzer gestartet wird.
  3. Öffnen Sie eine Kommandozeile.
    1. Setzen Sie einen Dienstprinzipalnamen (SPN) für den Service Account mit dem folgenden Kommando:
      setspn -S HTTP/[SERVERNAME].[DOMAINNAME] [USERNAME]

    2. Ermitteln Sie die kryptographische Version von ktpass mit dem Kommando:
      ktpass /?

    3. Erzeugen Sie eine Kerberos keytab-Datei und schreiben diesen in den Keystore mit dem Kommando: 
      ktpass -out C:\Serviceware\Common\Keystore -princ [SPN]@[REALMINUPPERCASE] -mapUser [USERNAME] -mapOp set -pass * -crypto [SUPPORTEDCRYPTOALGORITHM] -pType KRB5_NT_PRINCIPAL
      Tipp: Sie können den Parameter "All" für den crypt-Parameter verwenden. Wenn Sie einen anderen Parameter verwenden wollen, aber nicht sicher sind, was Sie verwenden können, kontaktieren Sie Ihren Domain-Administrator.
  4. Öffnen Sie den Serviceware Authenticator.
    1. Öffnen Sie LDAP User Federation Provider.
    2. Ändern Sie die folgenden Einstellungen:
    3. Allow Kerberos authentication = on
    4. Kerberos Anmeldebereich: Domain Name (Großbuchstaben)
    5. Dienstprinzipalname: Erzeugte SPN
    6. KeyTab: Pfad zur Keytab-Datei
    7. Use Kerberos For Password Authentication = on.
      Alle Einstellungen für die Nutzung des Serviceware Authenticator über LDAP mit Kerberos wurden gesetzt.
  5. Testen Sie die Anmeldung über LDAP mit Kerberos in der Web-Applikation.
    Anmeldung ist erfolgt.
Ihr LDAP/Kerberos wurde erfolgreich mit dem Serviceware Authenticator verbunden. Sie arbeiten nun mit Single Sign-On.
Anmerkung: Legen Sie für jeden Benutzer einen neuen SSO-Login zu einem bestehenden helpLine-Account im ClassicDesk an. Informationen dazu erhalten Sie im Abschnitt Lokale Serviceware Authenticator Benutzer für Processes anlegen.