Prettylib-tuoteratkaisut - Wiki

Integrated Windows Authentication ja PrettyLibServer

Owned by Pauli Porkka (Unlicensed)
Oct 15, 2018
3 min read

Huom: artikkeli ei ole välttämättä täysin ajan tasalla.

PrettyLibServer tukee Windows Integrated Authentication -käyttäjätunnistusta. Tälläistä tunnistautumista voidaan käyttää hakukomponenttien käyttäjäkohtaisten toimintojen tunnistautumiseen. Suositeltavaa on asentaa uusin mahdollinen versio, mikäli tätä ominaisuutta käytetään.

Palvelinympäristönä (toimialueen kontrollereina toimivat koneet sekä PrettyLibServer palvelin) tuetaan tätä ominaisuutta käytettäessä:

  • Windows 2012
  • Windows 2008


Integrated Windows Authentication

Ominaisuus tarkoittaa sitä, että selaimet (kts. kohta tuetut selaimet) voivat lähettää automaattisesti käyttöjärjestelmään (toimialueeseen tai yksittäiseen koneeseen) sisäänkirjautuneen käyttäjän tiedot. Varsinaiseen tunnistautumiseen järjestelmät käyttävät keskenään joko "NTLM" tai ns. "Negotiate" (Kerberos) protokollia. Mikäli domain on Windows 2008+ domain ja Internet Explorer toimii windows 7/8/10-työasemassa pyritään käyttämään Kerberosta, muussa tapauksessa NTLM:ä.

IWA:n ollessa päällä ei selaimen pitäisi kysyä käyttäjätunnistuksia ollenkaan, vaan autentikoinnin pitäisi tapahtua automaattisesti. Mikäli selain kuitenkin tässä vaiheessa kysyy käyttäjänimeä, tunnussanaa ja domainia kannattaa ottaa huomioon seikat, jotka on lueteltu tässä artikkelissa otsikon "IWA-ei toimi automaattisesti, mitä tehdä?" alla.

Käytettäessä kerberos-tunnistusta ja palvelun toimiessa jollain tietyllä toimialueen käyttäjätunnuksella tulee ottaa huomioon vielä artikkeli: "PrettyBitServer IWA tunnistautuminen Kerberoksen avulla.".

IWA:n kytkeminen päälle PrettyBitServeristä

  1. Aukaise PrettyBitServerin "Server Settings"-asetusohjelma.
  2. Valitse välilehti "Security: User"
  3. Valitse painike "Advanced" (otsikon: "Authentication methods" alla)
  4. Rastita valinta "Integrated Windows Authentication...."
  5. Valitse painike "Ok"
  6. Valitse painike "Save"


Hakukomponenteista PrettyLib4- ja PrettyCirc4-hakukomponentit tukevat IWA:a. Oletuksena tuki on pois päältä. Mikäli ominaisuus laitetaan päälle ja autentikointiin johtava haku sisältää oikeat parametrit kirjauduttaessa sisään esimerkiksi omiin tietoihin yrittää PrettyBitServer ensin tunnistaa käyttäjän käyttäen IWA:a. Mikäli tämä ei onnistu (selain ei tue sitä tai käyttäjän tunnistaminen ei onnistu) siirtyy PrettyBitServer käyttämään normaalia HTML-sivuun perustuvaa autentikointia.

IWA:n käyttäminen PrettyLib 4-komponentin kanssa

IWA:n käyttäminen vaatii muutaman toimenpiteen.

  1. Kappaleessa "IWA:n kytkeminen päälle PrettyBitServeristä" mainituista asetuksista varsinainen PrettyBitServer-palvelu on laitettava tukemaan ominaisuutta.
  2. Ominaisuus edellyttää, että Active Directoryssä ja PrettyLibin asiakastiedoissa on tallennettuna sähköpostiosoite (samanlaisena molemmissa).
  3. Hakukomponentin asetuksista on laitettava tuki päälle. Asetukset löytyvät Search Settings for PrettyLib 4-> Profiles -> Security kohdasta:
    1. "Enable Integrated Windows Authentication".
    2. "Enable Active Directory check with IWA"
  4. Asiakkaan tunnistukseen käytetty linkki ("Asiakkaan omat tiedot ja lainat") pitää muuttaa: Nykyisellään linkistä löytyy kohta AUTHENT=1, tämä muutetaan muotoon "AUTHENT=6" (negotiate/kerberos) tai "AUTHENT=5" (NTLM). Tämä muutos tehdään kaikkiin tarvittaviin paikkoihin, hakulomakkeisiin ja haunmuodostustiedostoihin (start-tiedostot).
  5. Palvelu pitää käynnistää uudelleen.

IWA:n käyttäminen PrettyCirc 4-komponentin kanssa

IWA:n käyttäminen vaatii pari toimenpidettä.

  1. Kappaleessa "IWA:n kytkeminen päälle PrettyBitServeristä" mainituista asetuksista varsinainen PrettyBitServer-palvelu on laitettava tukemaan ominaisuutta.
  2. Hakukomponentin asetuksista on laitettava tuki päälle. Asetukset löytyvät Search Settings for PrettyCirc 4-> Profiles -> Security kohdasta:
    1. "Enable Integrated Windows Authentication".
    2. "Enable Active Directory check with IWA"
  3. Asiakkaan tietoihin pääsemiseksi käytetty linkki pitää muuttaa. Nykyisellään linkistä löytyy kohta AUTHENT=1, tämä muutetaan muotoon "AUTHENT=5". Tämä muutos tehdään kaikkiin tarvittaviin paikkoihin, hakulomakkeisiin ja haunmuodostustiedostoihin (start-tiedostot). Hakulomakkeella asiakkaan omiin tietoihin pääsemiseksi käytetään oletuksena painiketta, jonka HTML-koodista vaihdetaan "AUTHENT" kentän arvo "1" -> "5".
  4. Palvelu pitää käynnistää uudelleen.

IWA ei toimi automaattisesti, mitä tehdä?

Mikäli Integrated Windows Authenticationin ollessa päällä selain kysyy kuitenkin käyttäjätunnuksia omalla dialogillaan, ota huomioon seuraavat seikat:

  • Selaimeksi ei käy mikä tahansa. Katso kohta tuetut selaimet.
  • Internet Explorer versiossa 6 löytyy erillinen asetus jolla Integrated Windows Authentication laitetaan päälle. Organisaation tasolla tämä laitetaan päälle Group Policy -menetelmillä.
  • Työasema-ohjelman kautta (tai tietokantaan sisäänluettuna) tulee olla määriteltynä kullekin asiakkaalle oma sähköpostitunnus (AD <-> PrettyLib).
  • Integrated Windows Authentication toimii yleensä vain ja ainostaan intranetissä, internetin ylitse se ei toimi. Tämä on jo selaimissakin estetty oletuksena ja tätä oletusta ei ole syytä muuttaa.
  • Mikäli selain kysyy käyttäjätunnusta EI HTML-muodossa vaan omalla dialogillaan, johtuu se siitä, että Internet Explorerin asetuksista pitäisi vielä määritellä "intranet" alueeksi kaikki oman domainin alla olevat koneet, eli *.domain.org. Kts. alla otsikko Internet Explorer intranet osoitteiden määritys.
  • Palvelimen ja käyttäjän tulee olla samalla toimialueella tai luottosuhteessa toimivalla toimialueella.

IE 6+ - IWA:n kytkeminen päälle

Aukaise Internet Explorerin asetukset (Tools->Internet Options) ja sieltä välilehti "Advanced". Listasta kohdan "Security" alta (jossain listan loppupuolella) löytyy kohta "Enable Integrated Windows Authentication", rastita se. Tämän ominaisuuden vaihtaminen vaatii koneen uudelleenkäynnistyksen.

IE 6 - Intranet osoitteiden määrittely

Englanninkielisessä:

  • Internet Explorerin asetuksista (Tools->Internet Options)
  • (välilehti) "Security".
  • (valitse) "Local Intranet"
  • (valitse) painike "Sites".
  • (valitse) painike "Advanced"
  • Kirjoita riville "Add this web site to the zone" intranet domainin nimi muodossa *.yritys.fi ja/tai ip-osoite muodossa "10.1.1.*".


Suomenkielisessä:

  • IE -> Työkalut -> Internet Asetukset
  • (välilehti) Suojaus
  • (valitse) Paikallinen lähiverkko
  • (valitse) sivustot
  • (valitse) lisäasetukset
  • riville "Lisää tämä web-sivusto vyöhykkeeseen" kirjoita "*.yritys.fi" (korvaa "yritys" omalla toimialueellasi).

IE 6 ja IWA

http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q308074

Firefox

Firefox selaimella tarvitsee muuttaa tiettyjä asetuksia. Asetusten muuttamiseksi tee seuraavasti:

  • Laita selaimen osoiteriville "about:config" (paina enter). Tällöin saat pitkän listan erilaisista asetuksista.
  • Etsi listasta seuraavat asetukset
  • "network.automatic-ntlm-auth.trusted-uris"
  • "network.negotiate-auth.trusted-uris"
  • "network.negotiate-auth.delegation-uris"


Kaikille edellä mainituille tee seuraavasti:

Tuplaklikkaa ja laita avautuvalle riville PrettyBitServer palvelimen nimi. Jos haette hakulomakkeen PrettyLibServeriltä esim. kuvitteellisella osoitteella "http://palvelin:2345/fin/search.htm" niin uri riville laitetaan "palvelin".

Mikäli palvelimeen otetaan yhteyttä muodossa: "http://palvelin.domain.com", niin tällöin pitäisi riittää asetuksiin pelkkä "domain.com". Asetukset astuvat voimaan kun suljet selaimen tai välilehden.

Tuetut selaimet

Kaikkien modernien selaimien pitäisi toimia, ominaisuuden päälle kytkeminen on selainkohtaista, joten tutustu selaimen ohjeistukseen.


Microsoftin artikkeleita aiheesta

http://support.microsoft.com/default.aspx?scid=kb;EN-US;299838

Prettylib-tuotetuki