5 1 0: Konfigurieren der LDAP/AD Authentifizierung

From SEPsesam
This page is a translated version of the page 5 1 0:Configuring LDAP/AD Authentication and the translation is 100% complete.
Other languages:


Docs latest icon.png Willkommen in der aktuellsten Version der SEP sesam Dokumentation 5.1.0 Apollon. Frühere Versionen der Dokumentation finden Sie hier: Documentation Archiv.


Übersicht


Bitte beachten, das die LDAP/AD Konfiguration SEP sesam versionsspezifisch ist. Achten Sie darauf, die korrekte Anleitung für Ihre spezifische Version zu verwenden.

SEP sesam ermöglicht die Konfiguration einer LDAP-Authentifizierung (Lightweight Directory Access Protocol) in Kombination mit der datenbankbasierten Authentifizierung. Auf diese Weise kann SEP sesam neben der eigenen Datenbank-Authentifizierung auch Benutzer anhand eines externen LDAP-Verzeichnisses (Active Directory, OpenLDAP, NetIQ eDirectory, etc.) authentifizieren. Es bietet die Integration von Benutzer- und Passwortverwaltung sowie SEP sesam Berechtigungen oder Zugriffsrechte, die je nach zugewiesenem Benutzertyp vergeben werden.

Ab V. 5.0.0 Jaglion ist es auch möglich, Benutzer mit einem signierten Zertifikat anstelle eines Benutzerpasswortes zu authentifizieren. Eine Schritt-für-Schritt-Anleitung finden Sie unter Konfigurieren der Zertifikats-basierten Authentifizierung.

  • Beachten Sie, dass die Einrichtung von LDAP/AD mit SEP sesam fundierte Kenntnisse der LDAP-Verwaltung erfordert.
  • Die SEP sesam Active Directory Authentifizierungsmethode ist nicht kompatibel mit Azure AD.

Generelle Funktionsweise

Wenn die LDAP-Authentifizierung aktiviert ist, läuft die Anmeldung an der SEP sesam GUI wie folgt:

  • Ein Benutzer meldet sich bei SEP sesam an, indem er die entsprechenden Zugangsdaten (Benutzername und Passwort) eingibt.
  • Nutzername und Paßwort werden gegen die interne SEP Sesam Datenbank geprüft.
  • Dann wird Nutzername und Passwort gegen die erste Authentifizierungsquelle in der Liste geprüft. Wird keine Übereinstimmung gefunden, wird die zweite Quelle, dann die dritte Quelle usw. geprüft. Wurde die erste Übereinstimmung gefunden, wird das entsprechende Quellverzeichnis nach den Gruppen und der Gruppenmitgliedschaft abgefragt.
  • Die vom Verzeichnis zurückgegebenen Gruppen werden mit den in der SEP Sesam Datenbank konfigurierten externen Gruppen verglichen. Ein Nutzer kann Mitglied mehrerer Gruppen sein. In diesem Fall wird der Nutzer mit den Rechten der Gruppe authentifiziert, die die höchsten Rechte hat.
  • Der Zugriff auf SEP sesam wird verweigert, wenn der Benutzer nicht gefunden wird oder wenn ein Benutzer nicht Mitglied einer der konfigurierten externen Gruppen (Authorisierung) ist.
Information sign.png Anmerkung
  • Bei der Verwendung der LDAP-Authentifizierung authentifiziert sich der Nutzer gegenüber einem LDAP Verzeichnisdienst, was zu Verzögerungen und einer langsameren SEP Sesam Anmeldung führen kann, da der LDAP-Server Zeit benötigt, um eine Netzwerkverbindung herzustellen und die Daten abzurufen.
  • Der Anmeldeprozess wird nach der ersten Übereinstimmung des Nutzernamens beendet. Gibt es mehrere Nutzer in verschiedenen Quellen mit dem gleichen Nutzernamen, kann sich nur der erste gefundene Nutzer anmelden.

Sie können SSL-Verbindungen zu Ihrem LDAP/AD-Server aktivieren, um LDAP für die Authentifizierung zu verschlüsseln, indem Sie das öffentliche Zertifikat der Zertifizierungsstelle (Root CA) in den Java-Schlüsselspeicher auf dem SEP sesam Server importieren, mit dem Ihr LDAP-Serverzertifikat signiert wurde. Details finden Sie unter Sichern der LDAP-Verbindung durch LDAPS.

Das Deaktivieren von LDAP/AD Quellen entfernt nicht die LDAP Einstellungen. Es wird nur die Integration der spezifischen Quelle deaktiviert. Die Abfrage der Quelle kann jederzeit wieder aktiviert werden, durch das Setzen des Haken in der Spalte Aktiv in der Konfiguration der Quellen.

Voraussetzungen

  • Die LDAP oder AD Nutzerkonten, die für die Authentifizierung genutzt werden sollen, müssen im LDAP/AD Verzeichnis existieren und funktionieren. Der LDAP/AD Dienst (zum Bsp. Active Directory, OpenLDAP, NetIQ eDirectory, etc.) muss laufen.
  • Die Authentifizierung im SEP Sesam muss generell aktiv sein. Relevante Parameter können in der sm.ini gesetzt werden, zum Beispiel
[UI] 
…………….
authEnabled=true 
auth.db.enabled=true 
auth.ldap.enabled=true 
auth.ldap.autocreate=true 
auth.ad.enabled=true 
auth.ad.autocreate=true 
…………….

und die Authentifizierung muss in der SEP Sesam GUI aktiviert werden, siehe dazu Konfigurieren der Datenbank-basierten Authentifizierung.

  • Für die Authentifizierung gegen LDAP wird ein Nutzer im Verzeichnis benötigt, der das Recht hat, die Attribute von LDAP Gruppen zu lesen.


Information sign.png Anmerkung
Die SEP sesam Active Directory Authentifizierungsmethode ist nicht kompatibel mit Azure AD.

Konfiguration der LDAP-Authentifizierung

Durch die Integration von LDAP und SEP Sesam Authentifizierung werden SEP Sesam interne Gruppen den externen Gruppen im LDAP/AD Verzeichnisbaum zugeordnet, so dass die Mitglieder der LDAP/AD Gruppen je nach Benutzertyp (Admin, Operator, Backup (v. ≥ 5.0.0 Jaglion) oder Restore, siehe auch Benutzerrollen und Berechtigungen) Zugriffsrechte für SEP sesam erhalten. Folglich authentifiziert SEP sesam Benutzer zusätzlich zu seiner eigenen Datenbank-Authentifizierung gegen das externe LDAP Verzeichnis.

Die Konfiguration der LDAP Authentifizierung ist ein zweistufiger Prozess:

  1. Beim LDAP Administrator erfragen, welche LDAP Attribute genutzt werden als Login Namen und als member Attribut in den LDAP Gruppen oder selbstständig die erforderlichen Informationen ermitteln.
  2. In der SEP Sesam GUI die LDAP Authentifizierungsquellen konfigurieren und die LDAP Gruppen zu den externen Gruppen hinzufügen.

OpenLDAP Konfiguration

Schritt 1: Ermitteln der LDAP Parameter und Werte

  1. Geben Sie im LDAP-Browser den DNS-Namen/IP-Adresse Ihres LDAP-Servers ein, z.B. sles11-nfs.jge.home.
  2. Erstellen Sie einen (Dienst-)Benutzer in Ihrem LDAP-Baum oder verwenden Sie einen vorhandenen Benutzer mit der Berechtigung Read auf das Member Attribut von Gruppen, um sicherzustellen, dass das angegebene Konto die Gruppenzugehörigkeit aller Nutzer im Verzeichnis lesen kann.
  3. OpenLDAP LDAP browser.jpg
  4. Definieren Sie einen Container (LDAP-Baumebene), in dem sich Ihre Gruppen befinden. Zum Beispiel sind die Basis für Gruppen ou=group,dc=jge,dc=home.
  5. OpenLDAP groups.jpg
  6. Geben Sie die Gruppennamen an. Sie können z.B. sepadmin, sepoperators und/oder seprestore verwenden.
  7. Identifizieren und notieren Sie alle LDAP-Container mit bestehenden Benutzern, die für die Verwendung von SEP sesam zugelassen werden sollen.
  8. Identifizieren und notieren Sie die eindeutige Kennung Ihrer Benutzer, z.B. ee, jge.

LDAP Zusammenfassung für das OpenLDAP-Beispiel

 LDAP Server: 					      sles11-nfs.jge.home
 LDAP-Benutzer mit Leserechte des Member-Attributs:    cn=Administrator,dc=jge,dc=home
 LDAP Gruppen-Container/Basis: 			      ou=group,dc=jge,dc=home
 LDAP Gruppe, die benutzt werden soll:                 sepadmin, sepoperators, seprestore
 LDAP Benutzercontainer/-basis:		              ou=people,dc=jge,dc=home
 Eindeutige LDAP Kennung:			      uid

Schritt 2: Konfiguration der LDAP Authentifizierung in derGUI

  1. Stellen Sie sicher, das die Datenbank basiert Authentifizierung aktiviert ist, so wie in Konfigurieren der Datenbank-basierten Authentifizierung beschrieben. Dann vom SEP sesam GUI Menü Konfiguration ‐> Berechtigungsverwaltung wählen.
  2. Wechseln Sie zur Registerkarte Quellen und klicken Sie auf die Schaltfläche + (plus), um eine Authentifizierungsquelle für den LDAP-Authentifizierungstyp hinzuzufügen.
  3. LDAP new source de.png
  4. Wählen Sie im Fenster Authentifizierungskonfiguration als Quellentyp LDAP aus und geben Sie die Werte an, die Sie zuvor für OpenLDAP ermittelt haben:
    • URL: Die LDAP URL des Servers für das Quellverzeichnis.
    • Basis DN Benutzersuche: Stellen Sie das Muster ein, das verwendet wird, um einen Distinguished Name (DN = zutreffenden Namen) für den Benutzer zu liefern. Der Mustername sollte sich auf die Wurzel-DN beziehen. Der Platzhalter {0} enthält den Benutzernamen.
    • Manager DN: Geben Sie den Distinguished Name (DN) des Dienst Nutzers an, der für die Anmeldung und Abfragen am Verzeichnisdienst verwendet wird.
    • Passwort: Definieren Sie das Passwort, das für die Anmeldung am Verzeichnisdienst verwendet wird.
    • Die Optionen Gruppenbasis und Gruppenfilter sind nur im UI Modus Fortgeschritten (früher UI Modus Experte) verfügbar. Wird sie nicht angezeigt, überprüfen Sie, ob Sie den UI-Modus Fortgeschritten ausgewählt haben, wie in Auswahl des UI-Modus beschrieben.

    Sie können die SEP sesam Berechtigungskonfiguration auch ändern, indem Sie die URL auf ldaps://<ldap server name>:636/ ändern. Einzelheiten dazu, wie Sie LDAP für die Authentifizierung sichern können, finden Sie unter Beispiel für die Authentifizierung durch LDAP mit eDirectory.

    Klicken Sie auf OK.

    LDAP new source filled de.png

  5. Wechseln Sie zum Reiter Externe Gruppen und klicken Sie auf Neu anlegen für jede externe Gruppe, der Sie SEP sesam Gruppen zuordnen möchten: Wählen Sie ADMIN, OPERATOR, BACKUP (v. ≥ 5.0.0 Jaglion) oder RESTORE.
    Klicken Sie auf OK, um Ihre externen LDAP-Gruppen den internen SEP sesam-Gruppen zuzuordnen. Beachten Sie, dass der Zugriff auf SEP sesam verweigert wird, wenn der LDAP-Benutzer nicht Mitglied der konfigurierten Berechtigungsgruppen ist.
  6. LDAP new external group filled admin de.png

(Micro Focus) NetIQ eDirectory Konfiguration

Schritt 1: Ermitteln der LDAP Parameter und Werte

  1. Melden Sie sich als Administrator bei iManager an.
  2. Geben Sie den DNS-Namen/IP-Adresse Ihres eDirectory LDAP Servers ein, z.B. oes15-srv1.sep.de.
  3. Erstellen Sie einen (Dienst-)Benutzer in Ihrem eDirectory-Baum oder verwenden Sie einen vorhandenen Benutzer, der die Berechtigung zum Lesen der Attribute von Benutzergruppen hat.
  4. Definieren Sie den Container, in dem sich Ihre Gruppen befinden sollen.
  5. IManager.jpg
  6. Geben Sie die Gruppennamen an. Sie können z.B. sepadmingroup, sepoperatorgroup, sepbackupgroup (v. ≥ 5.0.0 Jaglion), seprestoregroup verwenden.
  7. Identifizieren und notieren Sie alle LDAP-Container mit bestehenden Benutzern, die für die Verwendung von SEP sesam zugelassen werden sollten.
  8. EDirectory container.jpg
  9. Identifizieren und notieren Sie die eindeutige Kennung Ihrer Benutzer.
  10. EDirectory identifier.jpg

LDAP Zusammenfassung für das eDirectory Beispiel:

LDAP Server:					        oes15-srv1.sep.de
LDAP-Benutzer mit Leserechte des Member-Attributs:      cn=Admin,o=sep
LDAP Gruppen-Container/Basis:		                ou=groups,o=sep
LDAP Gruppe, die verwendet wird:		        sepadmingroup, sepoperatorgroup, seprestoregroup						
LDAP Benutzercontainer/-basis:			        ou=users,o=sep; ou=it,o=sep; ou=gurus,ou=it,o=sep							
Eindeutige LDAP Kennung:			        cn

Schritt 2: Konfiguration der LDAP Authentifizierung in der GUI

  1. Stellen Sie sicher, das die Datenbank basiert Authentifizierung aktiviert ist, so wie in Konfigurieren der Datenbank-basierten Authentifizierung beschrieben. Dann vom SEP sesam GUI Menü Konfiguration ‐> Berechtigungsverwaltung wählen.
  2. Wechseln Sie zur Registerkarte Quellen und klicken Sie auf die Schaltfläche + (plus), um die Authentifizierungsquelle für den LDAP-Authentifizierungstyp hinzuzufügen.
  3. Wählen Sie im Fenster Authentifizierungskonfiguration als Quellentyp LDAP aus und geben Sie die Werte an, die Sie zuvor für eDirectory ermittelt haben:
    • URL: Die LDAP URL des Servers für das Quellverzeichnis.
    • Basis DN Benutzersuche: Stellen Sie das Muster ein, das verwendet wird, um einen Distinguished Name (DN = zutreffenden Namen) für den Benutzer zu liefern. Der Mustername sollte sich auf die Wurzel-DN beziehen. Der Platzhalter {0} enthält den Benutzernamen.
    • Manager DN: Geben Sie den Distinguished Name (DN) an, der für die Anmeldung am Verzeichnisdienst verwendet wird.
    • Passwort: Definieren Sie das Passwort, das für die Anmeldung am Verzeichnisdienst verwendet wird.
    • Die Optionen Gruppenbasis und Gruppenfilter sind nur im UI Modus Fortgeschritten (früher UI Modus Experte) verfügbar. Wird sie nicht angezeigt, überprüfen Sie, ob Sie den UI-Modus Fortgeschritten ausgewählt haben, wie in Auswahl des UI-Modus beschrieben.

    Sie können die SEP sesam Berechtigungskonfiguration auch ändern, indem Sie die URL auf ldaps://<ldap server name>:636/ ändern. Einzelheiten dazu, wie Sie LDAP für die Authentifizierung sichern können, finden Sie unter Beispiel für die Authentifizierung durch LDAP mit eDirectory.

    Klicken Sie auf OK.

    EDir new source filled 01 de.png
    Erzeugen Sie Authentifizierungsquellen für jeden LDAP Container, in dem sich (SEP Sesam) Nutzer befinden. In unserem Beispiel sind das 4 verschiedene LDAP Container (eDirectory Kontexte) mit Nutzern.

    EDir new source ready de.png

  4. Wechseln Sie zum Reiter Externe Gruppen und klicken Sie auf Neu anlegen für jede externe Gruppe, der Sie SEP sesam Gruppen zuordnen möchten: Wählen Sie ADMIN, OPERATOR, BACKUP (v. ≥ 5.0.0 Jaglion) oder RESTORE.
    Klicken Sie auf OK, um Ihre externen LDAP-Gruppen den internen SEP sesam-Gruppen zuzuordnen. Wiederholen Sie diesen Schritt für jede externe Gruppe die einer internen SEP Sesam Gruppe zugeordnet werden soll. Es ist möglich eine beliebige Anzahl von Gruppenzuordnungen zu definieren. Beachten Sie, dass der Zugriff auf SEP sesam verweigert wird, wenn der LDAP-Benutzer nicht Mitglied der konfigurierten Berechtigungsgruppen ist.
  5. EDir new external group filled admin de.png

Univention UCS OpenLDAP Konfiguration

Step 1: Ermitteln der LDAP Parameter und Werte

Nutzen Sie einen LDAP Browser und ermitteln Sie alle benötigten Werte. Univention UCS nutzt einen nicht-standard Port für die LDAP Kommunikation.

Im folgenden Beispiel ist das Attribute für die Mitglieder einer Gruppe uniqueMember.

LDAP Zusammenfassung für das UCS OpenLDAP Beispiel:

LDAP Server:			                           majestix.sep.de
LDAP Port:	                                           7636
LDAP-Benutzer mit Leserechte des Member-Attributs:         uid=ldapreader,cn=users,dc=sep,dc=de
LDAP Gruppen-Container/Basis:		                   cn=groups,dc=sep,dc=de
LDAP Gruppe, die verwendet wird:			   grp-technik
LDAP-Benutzercontainer(s)/Basis(en):           
ou=2_1_2_consulting,ou=2_1_it,ou=2_user,ou=hk,dc=sep,dc=de							
Eindeutige LDAP Kennung:				   uid
LDAP Attribut für Gruppenmitglieder:                       uniqueMember 

Schritt 2: Konfiguration der LDAP Authentifizierung in der GUI

Der Konfigurationsablauf ist der selbe wie für OpenLDAP oder eDirectory, siehe oben.

Im Beispiel ist die LDAP Verbindung zum Quellverzeichnis mit Secure LDAP gesichert, siehe Screenshot.

UCS new source filled de.png

Konfigurieren der Active Directory (AD)-Authentifizierung

Information sign.png Anmerkung
Die SEP sesam Active Directory Authentifizierungsmethode ist nicht kompatibel mit Azure AD.

Die Integration von Active Directory und SEP Sesam erlaubt die Nutzung von Nutzerinformationen vom Active Directory für die Authentifizierung an SEP Sesam. Nachdem alle Voraussetzungen erfüllt sind, ist die Konfiguration einfach. In einem ersten Schritt muss man die Active Directoty Container ermitteln in den sich die (SEP Sesam) Nutzer befinden und die zu verwendenden Active Directory Gruppennamen. Dann wird in der SEP Sesam GUI die AD Authentifizierung mit diesen Werten konfiguriert.

Die Nutzerabfrage durchsucht den AD Baum beginnend mit dem konfigurierten Startcontainer bis zum Ende der Verzeichniszweiges. Das bedeuted, das die Base DN auf der höchsten Ebene des AD Baumes definiert werden kann und der gesamte Verzeichnisbaum durchsucht wird. Das kann ein sehr zeitaufwändiger Prozess sein. Der erste Treffer des Anmeldenamens beendet den Suchvorgang (für diese definierte Quelle).

SEP sesam then authenticates users against both, its own database and the external AD directory.

Schritt 1: Ermitteln der Active Directory Parameter und Werte

  1. Erstellen Sie eine neue AD-Gruppe auf dem Domänencontroller oder verwenden Sie eine bestehende AD-Gruppe. In unserem Beispiel werden wir die AD-Gruppen mit den Namen SEPADMIN und SEPOPERATOR verwenden.
  2. AD group names.png
  3. Ermittel der Container in dem sich die gewünschten Nutzer befinden. In unserem Beispiel existieren alle Nutzer in OU=Users,OU=MyCompany,DC=ad16,DC=local und OU=Admin-Users,OU=MyCompany,DC=ad16,DC=local. Wir wollen die Suchbasis so setzen, das ausschließlich Nutzer aus diesen Containern Zugriff auf den SEP Seam bekommen können.
  4. AD User base DN 01 en.png
  5. Ermitteln der Domain Erweiterung des User logon name Attributes, welche für den Nutzer-Login verwendet wird. Die Erweiterung ist besonders in Multi-Domain-Umgebungen wichtig.
  6. AD User domain.png

LDAP Zusammenfassung für das Active Directory Beispiel:

LDAP Server:					   ad16-1-dc.sep.de
AD User Domain extension:                          ad16.local
LDAP Gruppen-Container/Basis:                      cn=groups,dc=sep,dc=de
LDAP Gruppe, die verwendet wird:                   grp-technik 
LDAP-Benutzercontainer(s)/Basis(en):               ou=2_1_2_consulting,ou=2_1_it,ou=2_user,ou=hk,dc=sep,dc=de

Schritt 2: Konfiguration der AD Authentifizierung in der GUI

  1. Stellen Sie sicher, das die Datenbank basiert Authentifizierung aktiviert ist, so wie in Konfigurieren der Datenbank-basierten Authentifizierung beschrieben. Dann vom SEP sesam GUI Menü Konfiguration ‐> Berechtigungsverwaltung wählen.
  2. Wechseln Sie zur Registerkarte Quellen und klicken Sie auf die Schaltfläche + (plus), um die Authentifizierungsquelle hinzuzufügen. Wählen Sie im Fenster Authentifizierungskonfiguration als Quellentyp AD aus und geben Sie die Werte an, die Sie zuvor für Active Directory ermittelt haben:
  3. AD new source filled 01 de.png
    Dann wiederholen Sie die Schritte für jede Active Directory Quelle die Sie definieren möchten. Im Beispiel sind 2 AD Quellen im SEP Sesam konfiguriert. AD new source ready de.png
  4. Wechseln Sie zum Reiter Externe Gruppen und klicken Sie auf Neu erstellen für jede externe Gruppe, der Sie SEP sesam Gruppen zuordnen möchten: Wählen Sie ADMIN, OPERATOR, BACKUP (v. ≥ 5.0.0 Jaglion) oder RESTORE.
  5. Klicken Sie auf OK, um Ihre externen AD-Gruppen den internen SEP sesam-Gruppen zuzuordnen. Wiederholen Sie diesen Schritt für jede externe Gruppe die einer internen SEP Sesam Gruppe zugeordnet werden soll. Es ist möglich eine beliebige Anzahl von Gruppenzuordnungen zu definieren. Beachten Sie, dass der Zugriff auf SEP sesam verweigert wird, wenn der AD-Benutzer nicht Mitglied der konfigurierten Berechtigungsgruppen ist. AD new external group filled admin de.png

Managen der Authentifizierung

Die folgenden Hinweise sind hilfreich bei der Konfiguration und Verwaltung der AD/LDAP Authentifizierung in Verbindung mit SEP Sesam.

  • Es ist möglich verschiedene Authentifizierungsquellen gleichzeitig zu nutzen.
  • Die erste Authentifizierungsquelle ist IMMER die SEP Sesam interne Datenbank.
  • Die Reihenfolge aller weiteren Authentifizierungsquellen wird durch ihre Reighenfolge i der SEP Sesam GUI bestimmt (Berechtigungsverwaltung -> Reiter Quellen).
  • Die Reihenfolge der Quellen kann geändert werden, durch Markieren einer Quelle und drücken der hoch/runter Pfeile am unteren Rand des Fensters.
  • Auth source sort order de.png
  • Jede einzelne Quelle kann aktiviert/deaktiviert werden durch das Setzen/Entfernen des Hakens in der Spalte Aktiv.
  • Auth source enable disable de.png
  • Jeder jemals angemeldete Benutzer ist sichtbar in der SEP Sesam GUI: Berechtigungsverwaltung -> Reiter Benutzer.
  • AD und LDAP Nutzer sind ausgegraut und sie können nicht geändert werden. Die Anzeige ist rein informativ.
  • Auth user view de.png
  • AD/LDAP Nutzer können sich nicht ohne eine funktionierende AD/LDAP Verbindung anmelden, es sind keine Nutzerobjekte in der SEP Sesam Datenbank.

Absicherung der LDAP Verbindung durch LDAPS

SEP Sesam nutzt ein JAVA Framework für die Authentifizierung. SEP Sesam ist somit nur eine Nutzer der JAVA VM (virtual machine), Sie müssen sicherstellen, das JAVA eine sichere Verbindung aufbauen kann. Diese Einrichtung ist kein Teil der SEP Sesam Konfiguration. Aus diesem Grund sind die hier beschriebenen Schritte nur als Referenz zu verstehen und können sich jederzeit ändern. Lesen Sie die Dokumentation Ihres LDAP und PKI Anbieters für die aktuellsten Anleitungen und Details.

  1. Fragen Sie Ihren PKI/ROOT CA Administrator nach dem öffentlichen Zertifikat der Root CA, welche das Server Zertifikat Ihres LDAP Servers signiert hat.
  2. Importieren Sie das öffentliche Zertifikat in den JAVA KeyStore der JAVA VM, die durch den SEP Sesam Server verwendet wird. Dazu kann das Werkzeug keytool verwendet werden.
  3. Ändern Sie das Protokoll für die LDAP Quelle in der SEP Sesam GUI (Berechtigungsverwaltung -> Reiter Quellen) von LDAP auf LDAPS and passen Sie den LDAP Port an.
  4. Starten Sie den RMI-Service auf dem SEP Sesam Server mit dem folgenden Befehl neu:
  5.  sm_main restart rmi

Für detaillierte Information wie der öffentliche Schlüssel Ihrer Root CA exportiert wird, lesen Sie die Dokumentation Ihres Root CA Anbieters, zum Bsp. Microsoft Certificate Services, Micro Focus eDirectory CA, OpenLDAP, etc.

Für den Import des Zertifikates in den Java KeyStore nutzen Sie das Tool keytool (Teil jeder Java Installation). Eine andere Möglichkeit die Zertifikate unter Windows zu verwalten ist die Nutzung von Dritthersteller Tools, wie zum Beispiel KeyStore Explorer.

Beispiel für die Authentifizierung durch LDAP mit eDirectory

Mit SEP sesam ist es möglich, LDAP zur Authentifizierung zu verwenden, jedoch muss SEP sesam dem LDAP-Server-Zertifikat vertrauen. Sie müssen das öffentliche Zertifikat der Zertifizierungsstelle (CA) in den JAVA KeyStore importieren, mit dem Ihr LDAP-Server-Zertifikat signiert wurde. Beachten Sie, dass eDirectory mit selbstsignierten Zertifikaten (eDirectory Baum CA) arbeitet.

Das folgende Beispiel zeigt einen SEP sesam Linux Server (SLES). Um eine sichere LDAP Verbindung verwenden zu können, muss das eDirectory Root CA Zertifikat exportiert werden. Dann müssen Sie es in den Java KeyStore des SEP Sesam Servers importieren.

Information sign.png Anmerkung
Nachdem Sie das öffentliche Zertifikat exportiert und importiert haben, müssen Sie eventuell den SEP sesam Server neu starten, damit er wieder richtig funktioniert.

Schritt 1: Exportieren eines öffentlichen Zertifikats der Root CA.

Beachten Sie, dass der iManager über das neueste Plugin für den Micro Focus Zertifikatsserver und den Zugriff verfügen muss, um ordnungsgemäß zu funktionieren.

  1. Starten und melden Sie sich bei iManager an.
  2. Wählen Sie eDirectory Administration -> Modify Object.
  3. Wählen Sie dann Modify object.
  4. Wählen Sie die Lupe, um zu dem Container zu gelangen, in dem sich das Objekt <Tree Name> CA befindet, und wählen Sie es aus. Klicken Sie auf OK.
  5. Wechseln Sie zum Certificates Reiter.
  6. Wählen Sie die Option Self Signed Certificate und klicken Validate.
  7. Wählen Sie erneut die Option Self Signed Certificate und klicken Export.
  8. Deselektieren Sie die Option Export private key und klicken Next.
  9. Wählen Sie dann Save the exported certificate. Beachten Sie, dass Sie entweder File in binary DER format oder File in Base64 format wählen können.
  10. Speichern Sie die Datei und geben Sie Ihrem Zertifikat einen aussagekräftigen oder beschreibenden Namen, der es eindeutig identifiziert, z.B. SelfSignCert.der.
  11. Klicken Sie Close und dann OK um Ihr öffentliches Zertifikat zu exportieren.

Nachdem das Zertifikat exportiert ist, kopieren Sie es auf den SEP sesam Server.

Schritt 2: Importieren eines öffentlichen Zertifikats in Java KeyStore

Wenn Sie Ihr Zertifikat in Java KeyStore importieren möchten, müssen Sie zunächst den KeyStore für Ihre Java-Version identifizieren. Verwenden Sie den Befehl (als root Benutzer):

find / -iname 'cacerts'
/usr/java/jre1.8.0_144/lib/security/cacerts
/usr/java/jre1.7.0_40/lib/security/cacerts 

Wie im obigen Beispiel gezeigt, verwendet SEP sesam Java 1.8, so dass der entsprechende KeyStore für diese Version /usr/java/jre1.8.0_144/lib/security/cacerts ist.

Das folgende Beispiel zeigt, wie Sie ein öffentliches Zertifikat auf einem Linux Server importieren können. Nachdem das Zertifikat exportiert wurde, muss es auf dem Linux Server sichtbar sein. Kopieren Sie das exportierte Zertifikat auf den SEP Sesam Server.

Vorgehen:

  1. Öffnen Sie eine Terminal-Eingabeaufforderung und wechseln Sie zum Nutzer root  (Hinweis Befehl: su).
  2. Geben Sie in der Terminal-Eingabeaufforderung keytool ein und drücken Sie Enter.
  3. SEP Tip.png Hinweis
    Dies sollte nur eine Liste von Befehlen und Optionen anzeigen, um zu überprüfen, ob sich die Keytool-Anwendung im path befindet. Wenn nicht, sollten Sie das Java-Verzeichnis bin der Pfad Variablen hinzufügen, um die Keytool-Anwendung zu starten.
  4. Importieren Sie das öffentliche Zertifikat (z.B. SelfSignedCert.b64) mit einem folgenden Befehl in den Java CA KeyStore:
  5.  keytool -import -alias < ldap server dns name> -keystore <path to Java CA keystore> -file <certificate file> 

    Beispiel:

     keytool -import -alias ldap.allnet.com -keystore 
     /etc/alternatives/java_sdk/jre/lib/security/cacerts -file /home/admin/SelfSignedCert.b64 
    Information sign.png Anmerkung
    Die Java CA KeyStore-Datei, die normalerweise cacerts genannt wird, finden Sie im Verzeichnis <java sdk/jdk>/jre/lib/security. Es ist möglich, dass bei einem Update des Java-Codes ein Cacert gesichert und durch eine neue Version ersetzt wird, die das manuell importierte Zertifikat noch nicht hat. In diesem Fall wird die LDAP-Authentifizierung auf dem SEP sesam Server eingestellt.
  6. Wenn Sie zur Eingabe eines Passworts aufgefordert werden, geben Sie changeit ein.
  7. Akzeptieren Sie den Zertifikatsimport, indem Sie mit yes antworten und die Terminal-Eingabeaufforderung schließen.

Das Zertifikat wurde in den Keystore importiert und der SEP sesam Server kann SSL für seine LDAP-Authentifizierung verwenden.

Kommandobeispiele

  • Sie können in der Keytool-Anwendung mit dem Befehl -list (keytool -list -keystore <Keystore Dateiname>) überprüfen, ob das Zertifikat korrekt importiert wurde.
/usr/java/jre1.8.0_144/bin/keytool -list -keystore /usr/java/jre1.8.0_144/lib/security/cacerts | grep oes15

Wenn Sie zur Eingabe eines Passworts aufgefordert werden, geben Sie changeit ein.

Ausgabebeispiel

Keystore-Kennwort eingeben:  
oes15tree, 07.05.2018, trustedCertEntry,
  • Sie können den Zugriff auf den Keystore überprüfen.
/usr/java/jre1.8.0_144/bin/keytool -list -keystore /usr/java/jre1.8.0_144/lib/security/cacerts 

Ausgabebeispiel

Keystore-Kennwort eingeben:  

 Keystore-Typ: JKS
 Keystore-Provider: SUN

 Keystore enthält 105 Einträge

 verisignclass2g2ca [jdk], 25.08.2016, trustedCertEntry, 
 Zertifikat-Fingerprint (SHA1): 
 B3:EA:C4:47:76:C9:C8:1C:EA:F2:9D:95:B6:CC:A0:08:1B:67:EC:9D
 digicertassuredidg3 [jdk], 25.08.2016, trustedCertEntry,
 Zertifikat-Fingerprint (SHA1): 
 F5:17:A2:4F:9A:48:C6:C9:F8:A2:00:26:9F:DC:0F:48:2C:AB:30:89
 ….............
  • Sie können das öffentliche CA-Zertifikat (exportiert aus eDirectory) aus /tmp/ importieren, ein Dateiname ist oes15tree_public_cert.der.
/usr/java/jre1.8.0_144/bin/keytool -import -alias oes15tree -keystore  /usr/java/jre1.8.0_144/lib/security/cacerts -file 
/tmp/oes15tree_public_cert.der

Ausgabebeispiel

Keystore-Kennwort eingeben:  
 Eigentümer: O=OES15TREE, OU=Organizational CA
 Aussteller: O=OES15TREE, OU=Organizational CA
 Seriennummer: 21c14e16e79e3e28b6e89a3fbda8091477857741cdbf48bc44d12f70a0a0202060dfa50
 Gültig von: Tue Dec 01 11:12:27 CET 2015 bis: Sun Nov 30 11:12:27 CET 2025
 Zertifikat-Fingerprints:
         MD5:  41:48:73:BD:1C:59:C3:C1:5E:00:6D:11:6B:F4:A2:C7
         SHA1: 49:CB:2B:D5:2C:0B:11:2B:31:00:66:08:0E:CC:F4:D4:9F:61:3E:27
         SHA256: 01:61:BA:80:A1:67:6D:C7:15:9C:01:E5:24:F6:5B:BB:20:90:64:6D:95:A8:56:B2:32:37:CA:23:EF:D5:E6:BB
         Signaturalgorithmusname: SHA1withRSA
         Version: 3

 Erweiterungen: 

 #1: ObjectId: 2.16.840.1.113719.1.9.4.1 Criticality=false
 0000: 30 82 01 B7 04 02 01 00   01 01 FF 13 1D 4E 6F 76  0............Nov
 0010: 65 6C 6C 20 53 65 63 75   72 69 74 79 20 41 74 74  ell Security Att
 0020: 72 69 62 75 74 65 28 74   6D 29 16 43 68 74 74 70  ribute(tm).Chttp
 0030: 3A 2F 2F 64 65 76 65 6C   6F 70 65 72 2E 6E 6F 76  ://developer.nov
 0040: 65 6C 6C 2E 63 6F 6D 2F   72 65 70 6F 73 69 74 6F  ell.com/reposito
 0050: 72 79 2F 61 74 74 72 69   62 75 74 65 73 2F 63 65  ry/attributes/ce
 0060: 72 74 61 74 74 72 73 5F   76 31 30 2E 68 74 6D 30  rtattrs_v10.htm0
 0070: 82 01 48 A0 1A 01 01 00   30 08 30 06 02 01 01 02  ..H.....0.0.....
 0080: 01 46 30 08 30 06 02 01   01 02 01 0A 02 01 69 A1  .F0.0.........i.
 0090: 1A 01 01 00 30 08 30 06   02 01 01 02 01 00 30 08  ....0.0.......0.
 00A0: 30 06 02 01 01 02 01 00   02 01 00 A2 06 02 01 18  0...............
 00B0: 01 01 FF A3 82 01 04 A0   58 02 01 02 02 02 00 FF  ........X.......
 00C0: 02 01 00 03 0D 00 80 00   00 00 00 00 00 00 00 00  ................
 00D0: 00 00 03 09 00 80 00 00   00 00 00 00 00 30 18 30  .............0.0
 00E0: 10 02 01 00 02 08 7F FF   FF FF FF FF FF FF 01 01  ................
 00F0: 00 02 04 06 F0 DF 48 30   18 30 10 02 01 00 02 08  ......H0.0......
 0100: 7F FF FF FF FF FF FF FF   01 01 00 02 04 06 F0 DF  ................
 0110: 48 A1 58 02 01 02 02 02   00 FF 02 01 00 03 0D 00  H.X.............
 0120: 40 00 00 00 00 00 00 00   00 00 00 00 03 09 00 40  @..............@
 0130: 00 00 00 00 00 00 00 30   18 30 10 02 01 00 02 08  .......0.0......
 0140: 7F FF FF FF FF FF FF FF   01 01 00 02 04 14 E1 6E  ...............n
 0150: 79 30 18 30 10 02 01 00   02 08 7F FF FF FF FF FF  y0.0............
 0160: FF FF 01 01 00 02 04 14   E1 6E 79 A2 4E 30 4C 02  .........ny.N0L.
 0170: 01 02 02 02 00 FF 02 01   00 03 0D 00 80 FF FF FF  ................
 0180: FF FF FF FF FF FF FF FF   03 09 00 80 FF FF FF FF  ................
 0190: FF FF FF 30 12 30 10 02   01 00 02 08 7F FF FF FF  ...0.0..........
 01A0: FF FF FF FF 01 01 FF 30   12 30 10 02 01 00 02 08  .......0.0......
 01B0: 7F FF FF FF FF FF FF FF   01 01 FF                 ...........


 #2: ObjectId: 2.5.29.35 Criticality=false
 AuthorityKeyIdentifier [
 KeyIdentifier [
 0000: D3 91 1B 7E 38 C8 A1 05   62 61 22 03 8E 38 AD 12  ....8...ba"..8..
 0010: 6F 43 00 B6                                        oC..
 ]
 ]

 #3: ObjectId: 2.5.29.19 Criticality=false
   CA:true
   PathLen:2147483647
 ]

 #4: ObjectId: 2.5.29.15 Criticality=false
 KeyUsage [
  Key_CertSign
  Crl_Sign
] 

 #5: ObjectId: 2.5.29.14 Criticality=false
 SubjectKeyIdentifier [
 KeyIdentifier [
 0000: D3 91 1B 7E 38 C8 A1 05   62 61 22 03 8E 38 AD 12  ....8...ba"..8..
 0010: 6F 43 00 B6                                        oC..
 ]
 ]

 Diesem Zertifikat vertrauen? [Nein]:  Ja
 Zertifikat wurde Keystore hinzugefügt

Überprüfen, ob LDAP mit eDirectory richtig funktioniert

Wenn Sie Probleme mit der Authentifizierung haben, überprüfen Sie, ob LDAP mit eDirectory ordnungsgemäß funktioniert.

  1. Öffnen Sie den iManager und aktivieren Sie LDAP trace.
  2. Enable LDAP trace.jpg
  3. Verwenden Sie auf der Shell oder iMonitor ndstrace und aktivieren Sie nur den LDAP-Trace.
  4. LDAP trace output.jpg
  5. Melden Sie sich bei der SEP sesam GUI als Benutzer aus einer zugeordneten Gruppe mit dem richtigen eDirectory-Passwort an. In unserem Beispiel für eDirectory ist ein konfigurierter Benutzer sepadmin von ou=it,o=sep.

Ausgabebeispiel für ndstrace (erfolgreich)

New TLS connection 0x13ae5880 from 192.168.x.x:58610, monitor = 0xcc357700, index = 488
Monitor 0xcc357700 initiating TLS handshake on connection 0x13ae5880
DoTLSHandshake on connection 0x13ae5880
BIO ctrl called with unknown cmd 7
Completed TLS handshake on connection 0x13ae5880
DoBind on connection 0x13ae5880
Bind name:cn=sepadmin,ou=users,o=sep, version:3, authentication:simple
Failed to resolve full context on connection 0x13ae5880, err = no such entry (-601)
Failed to authenticate full context on connection 0x13ae5880, err = no such entry (-601)
Sending operation result 49:"":"NDS error: failed authentication (-669)" to connection 0x13ae5880
Monitor 0xcc357700 found connection 0x13ae5880 ending TLS session
DoTLSShutdown on connection 0x13ae5880
Monitor 0xcc357700 found connection 0x13ae5880 socket closed, err = -5871, 0 of 0 bytes read
Monitor 0xcc357700 initiating close for connection 0x13ae5880
Server closing connection 0x13ae5880, socket error = -5871
Connection 0x13ae5880 closed
New TLS connection 0x13ae5880 from 192.168.x.x:58612, monitor = 0xcc357700, index = 488
Monitor 0xcc357700 initiating TLS handshake on connection 0x13ae5880
DoTLSHandshake on connection 0x13ae5880
BIO ctrl called with unknown cmd 7
Completed TLS handshake on connection 0x13ae5880
DoBind on connection 0x13ae5880
Bind name:cn=sepadmin,ou=it,o=sep, version:3, authentication:simple
Sending operation result 0:"":"" to connection 0x13ae5880
DoSearch on connection 0x13ae5880
Search request:
        base: "cn=sepadmin,ou=it,o=sep"
        scope:0  dereference:3  sizelimit:0  timelimit:0  attrsonly:0
        filter: "(objectClass=*)"
        no attributes
nds_back_search: Search Control OID 2.16.840.1.113730.3.4.2
Empty attribute list implies all user attributes
Sending search result entry "cn=sepadmin,ou=it,o=sep" to connection 0x13ae5880
Sending operation result 0:"":"" to connection 0x13ae5880
DoUnbind on connection 0x13ae5880
Connection 0x13ae5880 closed
New TLS connection 0x13ae5880 from 192.168.x.x:58613, monitor = 0xcc357700, index = 488
Monitor 0xcc357700 initiating TLS handshake on connection 0x13ae5880
DoTLSHandshake on connection 0x13ae5880
BIO ctrl called with unknown cmd 7
Completed TLS handshake on connection 0x13ae5880
DoBind on connection 0x13ae5880
Bind name:cn=ldapuser,o=sep, version:3, authentication:simple
Sending operation result 0:"":"" to connection 0x13ae5880
DoSearch on connection 0x13ae5880
Search request:
        base: "ou=groups,o=sep"
        scope:2  dereference:3  sizelimit:0  timelimit:0  attrsonly:0
        filter: "(member=cn=sepadmin,ou=it,o=sep)"
        attribute: "cn"
        attribute: "objectClass"
        attribute: "javaSerializedData"
        attribute: "javaClassName"
        attribute: "javaFactory"
        attribute: "javaCodeBase"
        attribute: "javaReferenceAddress"
        attribute: "javaClassNames"
        attribute: "javaRemoteLocation"
 nds_back_search: Search Control OID 2.16.840.1.113730.3.4.2
 Sending search result entry "cn=seprestoregroup,ou=groups,o=sep" to connection 0x13ae5880
 Sending search result entry "cn=sepoperatorgroup,ou=groups,o=sep" to connection 0x13ae5880
 Sending search result entry "cn=sepadmingroup,ou=groups,o=sep" to connection 0x13ae5880
 Sending operation result 0:"":"" to connection 0x13ae5880
 DoUnbind on connection 0x13ae5880
 Connection 0x13ae5880 closed

Ausgabebeispiel für ndstrace (nicht erfolgreich, falsche Passwort)

New TLS connection 0x167e9180 from 192.168.1.11:59405, monitor = 0xcc357700, index = 485
Monitor 0xcc357700 initiating TLS handshake on connection 0x167e9180
DoTLSHandshake on connection 0x167e9180
BIO ctrl called with unknown cmd 7
Completed TLS handshake on connection 0x167e9180
DoBind on connection 0x167e9180
Bind name:cn=sepadmin,ou=users,o=sep, version:3, authentication:simple
Failed to resolve full context on connection 0x167e9180, err = no such entry (-601)
Failed to authenticate full context on connection 0x167e9180, err = no such entry (-601)
Sending operation result 49:"":"NDS error: failed authentication (-669)" to connection 0x167e9180
Monitor 0xcc357700 found connection 0x167e9180 ending TLS session
DoTLSShutdown on connection 0x167e9180
Monitor 0xcc357700 found connection 0x167e9180 socket closed, err = -5871, 0 of 0 bytes read
Monitor 0xcc357700 initiating close for connection 0x167e9180
Server closing connection 0x167e9180, socket error = -5871
Connection 0x167e9180 closed
New TLS connection 0x167e9180 from 192.168.1.11:59408, monitor = 0xcc357700, index = 485
Monitor 0xcc357700 initiating TLS handshake on connection 0x167e9180
DoTLSHandshake on connection 0x167e9180
BIO ctrl called with unknown cmd 7
Completed TLS handshake on connection 0x167e9180
DoBind on connection 0x167e9180
Bind name:cn=sepadmin,ou=it,o=sep, version:3, authentication:simple
Failed to authenticate local on connection 0x167e9180, err = failed authentication (-669)
Sending operation result 49:"":"NDS error: failed authentication (-669)" to connection 0x167e9180
Monitor 0xcc357700 found connection 0x167e9180 ending TLS session
DoTLSShutdown on connection 0x167e9180
Monitor 0xcc357700 found connection 0x167e9180 socket closed, err = -5871, 0 of 0 bytes read
Monitor 0xcc357700 initiating close for connection 0x167e9180
Server closing connection 0x167e9180, socket error = -5871
Connection 0x167e9180 closed
New TLS connection 0x167e9180 from 192.168.1.11:59409, monitor = 0xcc357700, index = 485
Monitor 0xcc357700 initiating TLS handshake on connection 0x167e9180
DoTLSHandshake on connection 0x167e9180
BIO ctrl called with unknown cmd 7
Completed TLS handshake on connection 0x167e9180
DoBind on connection 0x167e9180
Bind name:cn=sepadmin,ou=gurus,ou=it,o=sep, version:3, authentication:simple
Failed to resolve full context on connection 0x167e9180, err = no such entry (-601)
Failed to authenticate full context on connection 0x167e9180, err = no such entry (-601)
Sending operation result 49:"":"NDS error: failed authentication (-669)" to connection 0x167e9180
Monitor 0xcc357700 found connection 0x167e9180 ending TLS session
DoTLSShutdown on connection 0x167e9180
Monitor 0xcc357700 found connection 0x167e9180 socket closed, err = -5871, 0 of 0 bytes read
Monitor 0xcc357700 initiating close for connection 0x167e9180
Server closing connection 0x167e9180, socket error = -5871
Connection 0x167e9180 closed


Siehe auch

Über Authentifizierung und Autorisierung - Konfigurieren der Datenbank-basierten Authentifizierung - Konfigurieren der Zertifikat-basierten Authentifizierung - Benutzerrollen und Berechtigungen - Verwendung von Zugriffskontrolllisten

Copyright © SEP AG 1999-2024. Alle Rechte vorbehalten.
Jede Form der Reproduktion der Inhalte dieses Benutzerhandbuches, ganz oder in Teilen, ist nur mit der ausdrücklichen schriftlichen Erlaubnis der SEP AG gestattet. Bei der Erstellung dieses Benutzerhandbuches wurde mit größtmöglicher Sorgfalt gearbeitet, um korrekte und fehlerfreie Informationen bereit stellen zu können. Trotzdem kann die SEP AG keine Gewähr für die Richtigkeit der Inhalte dieses Benutzerhandbuches übernehmen.