Öffnen Sie die Datei [root_install_dir]\appserv\web\WEB-INF\web.xml und führen Sie folgende Schritte aus:
Wie Administratoren Single-Sign-On (SSO) für ein Adobe Connect-Konto konfigurieren können, um sich über einen Proxyserver oder über NTLM zu authentifizieren.
Informationen zu Single Sign-On
Mit Single Sign-On können Benutzer nach einmaliger Authentifizierung auf mehrere Anwendungen zugreifen. Beim Single Sign-On wird ein Proxyserver zur Authentifizierung von Benutzern verwendet, sodass sie sich nicht bei Adobe Connect anmelden müssen.
Adobe Connect unterstützt folgende Single Sign-On-Anmeldeverfahren:
HTTP-Header-Authentifizierung
Konfigurieren Sie einen Authentifizierungs-Proxy, der die HTTP-Anforderung abfängt, die Anmeldedaten des Benutzers vom Header analysiert und an Adobe Connect weitergibt.
Microsoft NT LAN Manager (NTLM)-Authentifizierung
Konfigurieren Sie Adobe Connect für die automatische Authentifizierung von Clients durch einen Windows-Domänencontroller über das NTLMv1-Protokoll. Microsoft Internet Explorer unter Microsoft Windows kann die NTLM-Authentifizierung abwickeln, ohne dass der Benutzer seine Anmeldedaten eingeben muss.
NTLM-Authentifizierung funktioniert auf Edge-Servern nicht. Verwenden Sie stattdessen LDAP-Authentifizierung.
Mozilla Firefox-Clients können die NTLM-Authentifizierung vielleicht auch ohne Dialogabfrage durchführen. Weitere Informationen zur Konfiguration finden Sie in diesem Firefox-Dokument.
Sie haben auch die Möglichkeit, einen eigenen Authentifizierungsfilter zu erstellen. Weitere Informationen erhalten Sie vom Adobe-Support.
Konfigurieren der HTTP-Header-Authentifizierung
Wenn die HTTP-Header-Authentifizierung konfiguriert ist, werden Adobe Connect-Anmeldeanforderungen an einen Agenten weitergeleitet, der sich zwischen dem Client und Adobe Connect befindet. Bei diesem Agenten kann es sich um einen Authentifizierungs-Proxy oder um eine Softwareanwendung handeln. Der Agent authentifiziert den Benutzer, fügt der HTTP-Anforderung einen weiteren Header hinzu und sendet die Anforderung an Adobe Connect. Unter Adobe Connect müssen Sie die Kommentarmarkierung eines Java-Filters entfernen und in der Datei „custom.ini“ einen Parameter konfigurieren, der den Namen des zusätzlichen HTTP-Headers angibt.
HTTP-Header-Authentifizierung unter Adobe Connect konfigurieren
Um die HTTP-Header-Authentifizierung zu aktivieren, müssen Sie auf dem Computer, der Adobe Connect hostet, eine Java-Filterzuordnung und einen Header-Parameter konfigurieren.
-
-
Entfernen Sie für „HeaderAuthenticationFilter“ die Kommentartags um den Filter und die Filterzuordnungselemente.
-
Fügen Sie für „NtlmAuthenticationFilter“ Kommentartags um den Filter und die Filterzuordnungselemente hinzu.
-
-
Beenden Sie Adobe Connect Central Application Server und Meeting Server.
-
Fügen Sie die folgende Zeile in die Datei custom.ini ein. Der Authentifizierungsagent muss der HTTP-Anforderung, die an Adobe Connect gesendet wird, einen Header hinzufügen. Der Name des Headers muss „header_field_name“ lauten.
HTTP_AUTH_HEADER=header_field_name
Der Authentifizierungsagent muss der HTTP-Anforderung, die an Adobe Connect gesendet wird, einen Header hinzufügen. Der Name des Headers muss „header_field_name“ lauten.
-
Speichern Sie die Datei custom.ini und starten Sie Adobe Connect Meeting Server und Adobe Connect Central Application Server neu.
Authentifizierungscode schreiben
Der Authentifizierungscode muss den Benutzer authentifizieren, dem HTTP-Header ein Feld mit der Benutzeranmeldung hinzufügen und eine Anforderung an Adobe Connect senden.
-
Geben Sie für den Wert des Header-Felds header_field_name einen Adobe Connect-Benutzeranmeldenamen ein.
-
Senden Sie eine HTTP-Anforderung an Adobe Connect unter folgender URL:
http://example.com/system/login
Der Java-Filter für Adobe Connect erfasst die Anfrage, sucht den Header header_field_name und sucht dann nach einem Benutzer mit der im Header befindlichen ID. Wenn der Benutzer ermittelt werden kann, wird er authentifiziert und es wird eine Antwort gesendet.
-
Den HTTP-Inhalt der Adobe Connect-Antwort nach der Zeichenfolge „OK“ durchsuchen, der eine erfolgreiche Authentifizierung bestätigt.
-
Die Adobe Connect-Antwort auf den Cookie BREEZESESSION durchsuchen.
-
Den Benutzer an die angeforderte Adobe Connect-URL verweisen und den Cookie BREEZESESSION als Wert des Parameters session wie folgt weitergeben:
http://example.com?session=BREEZESESSION
Hinweis:Sie müssen den Cookie BREEZESESSION auch bei allen weiteren Anfragen an Adobe Connect in dieser Client-Sitzung weitergeben.
HTTP-Header-Authentifizierung mit Apache konfigurieren
Im Folgenden wird eine Beispielimplementierung einer HTTP-Header-Authentifizierung beschrieben, bei der Apache als Authentifizierungsagent eingesetzt wird.
-
Installieren Sie Apache als Reverse-Proxy auf einem anderen Computer als Adobe Connect.
-
Wählen Sie „Start“ > „Programme“ > „Apache HTTP Server“ > „Configure Apache Server“ > „Edit the Apache httpd.conf Configuration file“ und führen Sie Folgendes aus:
-
Entfernen Sie die Kommentarmarkierung den folgenden Zeilen:
- LoadModule headers_module modules/mod_headers.so
- LoadModule proxy_module modules/mod_proxy.so
- LoadModule proxy_connect_module modules/mod_proxy_connect.so
- LoadModule proxy_http_module modules/mod_proxy_http.so
-
Fügen Sie die folgenden Zeilen am Ende der Datei hinzu:
RequestHeader append custom-auth "ext-login" ProxyRequests Off <Proxy *> Order deny,allow Allow from all </Proxy> ProxyPass / http://hostname:[port]/ ProxyPassReverse / http://[hostname]:[port]/ ProxyPreserveHost On
-
-
Halten Sie Adobe Connect Central Application Server und Adobe Connect Meeting Server an.
-
Fügen Sie die folgenden Werte zur Datei custom.ini-Datei hinzu. Der Parameter HTTP_AUTH_HEADER muss dem in den Proxy-Einstellungen konfigurierten Namen entsprechen. Der Parameter ist der zusätzliche HTTP-Header.
HTTP_AUTH_HEADER=custom-auth
-
Speichern Sie die Datei „custom.ini“ und starten Sie Adobe Connect Meeting Server und Adobe Central Application Server neu.
-
Öffnen Sie die Datei [root_install_dir]\appserv\web\WEB-INF\web.xml und nehmen Sie die Kommentare aus dem kompletten Filter „HeaderAuthenticationFilter“ und „NtlmAuthenticationFilter“ heraus.
Konfigurieren der NTLM-Authentifizierung
NTLMv1 ist ein Authentifizierungsprotokoll, das in Microsoft Windows-Netzwerken Bestandteil des SMB-Netzwerkprotokolls ist. Mit NTLM kann ein Benutzer seine Identität einmalig von der Windows-Domäne prüfen lassen, um künftig auf Netzwerkressourcen wie Adobe Connect zugreifen zu können. Um die Identität des Benutzers zu verifizieren, führt der Webbrowser automatisch eine Challenge-Response-Authentifizierung durch Adobe Connect über den Domänencontroller aus. Falls dieser Mechanismus fehlschlägt, kann der Benutzer sich auch direkt bei Adobe Connect anmelden. Single-Sign-on mit NTLMv1-Authentifizierung wird unter Windows nur von Internet Explorer unterstützt.
Richten Sie Adobe Connect und NTLM unter Windows 2003 ein, da Adobe Connect NTLM v1 unterstützt. Windows 7 und höhere Versionen unterstützen NTLM v1 SSO nicht.
Standardmäßig erfordern Windows Server 2003-Domänencontroller eine Sicherheitsfunktion, die SMB-Signatur genannt wird. Die Standardkonfiguration des NTLM-Authentifizierungsfilters unterstützt keine SMB-Signaturen. Der Filter lässt sich aber für die genannte Funktionsweise entsprechend konfigurieren. Weitere Informationen über diese und andere erweiterte Konfigurationsoptionen finden Sie unter JCIFS NTLM HTTP authentication documentation.
Konfigurationsparameter hinzufügen
Führen Sie für jeden Host eines Adobe Connect-Clusters folgende Schritte durch:
-
Synchronisieren Sie die LDAP-Benutzer der Domäne in Adobe Connect über die Verwaltungskonsole 8510. Informationen zur Integration von Adobe Connect mit LDAP finden Sie unter Adobe Connect mit einem LDAP-Ordner integrieren.
Hinweis:Nachdem Sie LDAP in Adobe Connect synchronisiert haben, filtern Sie die LDAP-Daten so, dass der NTLM-Domänenbenutzername in die Adobe Connect-Datenbank übertragen wird. Andernfalls funktioniert die NTLM-SSO-Anmeldung nicht und es werden Anmeldefehler in der Datei debug.log protokolliert.
-
Bearbeiten Sie die Anmelderichtlinien für Adobe Connect, damit die Anmeldung mit dem Domänenbenutzernamen erfolgt. Standardmäßig erfolgt die Anmeldung mit der E-Mail-Adresse als Anmeldename; NTLM lässt jedoch keine E-Mail-Adressen zu.
-
Öffnen Sie die Datei „[root_install_dir]\custom.ini“ in einem Texteditor und fügen Sie die folgenden Parameter hinzu:
NTLM_DOMAIN=[domain]
NTLM_SERVER=[WINS_server_IP_address]Der Wert [domain] ist der Name der Windows-Domäne, deren Mitglieder die Benutzer sind und die für die Authentifizierung maßgeblich ist. Beispiel: FIRMENNETZ. Möglicherweise müssen Sie diesen Wert so ändern, dass der Domänenname mit Windows-Versionen vor Windows 2000 kompatibel ist. Weitere Informationen finden Sie in der TechNote 27e73404. Dieser Wert wird auf die Filtereigenschaft jcifs.smb.client.domain abgebildet. Durch das direkte Einstellen eines Wertes in der Datei web.xml wird der Wert aus der Datei custom.ini außer Kraft gesetzt.
Der Wert [WINS_server_IP_address] ist eine durch Kommas getrennte Liste mit IP-Adressen von WINS-Servern. Es müssen IP-Adressen eingegeben werden, der Hostname funktioniert nicht. Die WINS-Server werden in der angegebenen Reihenfolge abgefragt, um die IP-Adresse eines Domänencontrollers für die Domäne aufzulösen, die im Parameter NTLM_DOMAIN hinterlegt ist. (Der Domänencontroller authentifiziert die Benutzer.) Sie können auch direkt die Adresse des Domänencontrollers eingeben, beispielsweise: 10.169.10.77, 10.169.10.66. Dieser Wert wird auf die Filtereigenschaft jcifs.netbios.wins abgebildet. Durch das Einstellen des Wertes in der Datei web.xml wird der entsprechende Wert in der Datei custom.ini außer Kraft gesetzt.
-
Speichern Sie die Datei custom.ini.
-
Öffnen Sie in einem Texteditor die Datei „[root_install_dir]\appserv\web\WEB-INF\web.xml“ und führen nehmen Sie die Kommentare heraus:
- im gesamten „NtlmAuthenticationFilter“ und in den Filterzuordnungselementen
- im gesamten „NtlmAuthenticationFilter“ und in den Filterzuordnungselementen
-
Speichern Sie die Datei „web.xml “ und starten Sie den Adobe Connect Server neu.
Anmelderichtlinien angleichen
Adobe Connect und NTLM verwenden unterschiedliche Anmelderichtlinien für die Benutzerauthentifizierung. Diese Richtlinien müssen aufeinander abgestimmt werden, bevor die Benutzer die Single-Login-Funktion nutzen können.
Bei der Anmeldekennung des NTLM-Protokolls kann es sich je nach Richtlinie oder Unternehmen um einen Benutzernamen (gschmidt), eine Mitarbeiter-ID (1234) oder um einen verschlüsselten Namen handeln. Standardmäßig verwendet Adobe Connect eine E-Mail-Adresse (z. B. „gschmidt@meinefirma.com“) als Anmeldekennung. Ändern Sie die Adobe Connect-Anmelderichtlinie, sodass Adobe Connect einen eindeutigen Bezeichner mit NTLM verwendet.
-
Öffnen Sie Adobe Connect Central.
Um Adobe Connect Central zu öffnen, öffnen Sie ein Browserfenster und geben Sie den FQDN des Adobe Connect-Hosts ein (z. B. http://connect.meinefirma.com). Den Wert für „Adobe Connect Host“ haben Sie im Bildschirm „Servereinstellungen“ der Anwendungsverwaltungskonsole eingegeben.
-
Wählen Sie die Registerkarte „Administration“ aus. Klicken Sie auf „Benutzer und Gruppen“. Klicken Sie auf „Anmelde- und Kennwortrichtlinien bearbeiten“.
-
Wählen Sie im Bereich „Anmelderichtlinie“ für „E-Mail-Adresse für Anmeldung verwenden“ die Option „Nein“.