Sicheres Single Sign-on per Windows SID
Informationen
- Kategorien: Kernel | Rechteverwaltung
- Version: 15.0.0.3513
- Veröffentlichungsdatum: Donnerstag, 22. März 2012
- Entwickler: Götzen
- Benötigt Datenbankänderung: Ja
- Betreff: Sicheres Single Sign-on per Windows SID
Beschreibung
Die bisherige SingleSign-on Methode ist wurde jetzt per Windows SID sicherer gemacht.
Dies wurde folgendermassen realisiert:
Die Windows SID (Security Identifier) wird von Windows zur Identifikation von Benutzern und Gruppen verwendet. Da z.B. Benutzernamen in einem Netzwerk doppelt vorkommen können, wird für jeden Benutzer eine eindeutige SID erstellt und zugewiesen. Windows selber arbeitet nur mit dieser SID. Werden einem Benutzer also Rechte zugewiesen, benutzt Windows dafür dessen SID. Wenn sich nun ein Benutzer am Betriebssystem (Microsoft Windows) anmeldet, so bekommt er ein UserToken welches untrennbar mit seiner Windows SID verknüfpt ist.
Pit-FM kann also davon ausgehen, dass die SID dieses UserTokens in der Domäne eindeutig einem Benutzer zugeordnet ist.
Um eine Zuordnung des Windows Benutzers zum entsprechenden pit-FM Benutzer zu erreichen wurde die Tabelle SysUser um ein Feld SID erweitert.
Weiterhin wurden 2 Funktionalitäten zum Ausfüllen dieses SID-Feldes geschaffen:
a) Die Möglichkeit des Importes von Windows Benutzern aus dem Actrive Directory. Dazu ist erforderlich, eine ActiveDirectory Importvorlage mit dem Namen ADs2SysUser.cid im Verzeichnis ..\System\Interdace\LDAP .
b) Ein Steuerelement vom Typ "SidEdit" zum Zuordnen eines Domänen Benutzers zu einem vorhandenen pit-FM benutzers.
Um das SingleSign-on per Windows SID zu aktivieren, ist foldender Eintrag in der System\config\settings.ini erforderlich: [USER] SingleSignOnPerSID=TRUE
Für weitere Informationen zur Konfiguration der SingleSign-on Methode siehe Beispielcode.
Bilder
Beispielcode
; *********************************************************************************
- erforderlicher Eintrag in der system\config\Settings.ini
; *********************************************************************************
[USER]
SingleSignOnPerSID=TRUE
; *********************************************************************************
; *********************************************************************************
- Hinzufügen des Feldes SID in der system\config\Descriptor.ini sowie in der Tabelle sysUser der Datenbank
; *********************************************************************************
[SysUser]
...
ATTRIBUTE_26=SID
TYPE_26=STRING
LENGTH_26=255
NULL_26=TRUE
; *********************************************************************************
; *********************************************************************************
Inhalt der Datei:
\System\interface\LDAP\ADs2SysUser.cid
zum Importieren der benutzer aus dem Active Directory
; *********************************************************************************
[SETTINGS]
DESCRIPTION=Import AD To SysUser
CLASS=SysUser
EXCHANGEMODE=2
MODULE=LDAPEXCHANGER
N_FIELDS=4
[FIELD_1]
PITFMATTRIBUTE=Name
FOREIGNFIELDNAME=sn
ISUNIQUEKEY=FALSE
UPDATEMODE=2
FOREIGNLENGTH=50
FOREIGNPRECISION=0
DATATYPE=3
[FIELD_2]
PITFMATTRIBUTE=FirstName
FOREIGNFIELDNAME=givenname
ISUNIQUEKEY=FALSE
UPDATEMODE=2
FOREIGNLENGTH=50
FOREIGNPRECISION=0
DATATYPE=3
[FIELD_3]
PITFMATTRIBUTE=UserId
FOREIGNFIELDNAME=sAMAccountName
ISUNIQUEKEY=TRUE
UPDATEMODE=2
FOREIGNLENGTH=30
FOREIGNPRECISION=0
DATATYPE=3
[FIELD_4]
PITFMATTRIBUTE=SID
FOREIGNFIELDNAME=SID
ISUNIQUEKEY=FALSE
UPDATEMODE=1
FOREIGNLENGTH=255
FOREIGNPRECISION=0
DATATYPE=3
; *********************************************************************************