Pregunta

Para habilitar la autenticación SSO con CQ5, normalmente se requiere una autoridad de terceros que autentica previamente a un usuario antes de que una petición pase a CQ5. ¿Se puede lograr esto con IIS o Apache 2.x?

 

Respuesta y resolución

Como prerrequisito, SSO debe estar habilitado tanto en CQ5 como en CRX. Consultar este artículo de kb-article sobre cómo configurar esto.

Este artículo describirá cómo integrar la autenticación NTLM de Windows a través de Apache e IIS con CQ5 para habilitar el acceso SSO a una instancia de creación de CQ5. Se asume que una configuración de trabajo del Dispatcher conectado a la instancia CQ5 está en su lugar.

 

IIS

Microsoft IIS ya proporciona soporte integrado para la autenticación NTLM, que se puede habilitar mediante la configuración:

  • activar la autenticación integrada de Windows integrada en la pestaña de Seguridad directorios de IIS para la instancia CQ servida por este servidor IIS
  • permitir que las variables del servidor se pasen junto con la solicitud como encabezados
  • asegúrese de que su sitio web esté listado en la zona de Intranet en la configuración de seguridad de IE

Para habilitar las variables del servidor, edite el archivo disp_iis.ini y establezca servervariables en 1. Este vínculo proporciona una lista de variables disponibles en IIS.
Los encabezados típicos son REMOTE_USER o LOGON_USER. Asegúrese de que el valor de la ID de usuario coincida con la ID de los usuarios en CQ.

 

Apache

Apache requiere un módulo adicional para habilitar la autenticación NTLM llamado mod_auth_sspi. El ID del usuario actual de Windows puede extraerse de la variable de entorno REMOTE_USER de Apache, que se envía como cabecera de la petición.

Ejemplo de configuración de httpd.conf:

LoadModule sspi_auth_module modules/mod_auth_sspi.so <VirtualHost *:80> ServerAdmin webmaster@xyz.com DocumentRoot "C:/Apache2.2/htdocs" ServerName localhost ErrorLog "logs/error.log" KeepAlive On <Location />SetHandler dispatcher-handler AuthName "A Protected Place" AuthType SSPI SSPIAuth On SSPIUsernameCase lower require valid-user </Location> </VirtualHost>

 

Nota: el módulo mod_auth_sspi Apache solo funciona con la versión Windows de Apache 2.x.

Para instalaciones Linux, las posibles soluciones son mod_ntlm, o mod_headers .

 

Se aplica a

CQ 5.x

Esta obra está autorizada con arreglo a la licencia de Reconocimiento-NoComercial-CompartirIgual 3.0 Unported de Creative Commons.  Los términos de Creative Commons no cubren las publicaciones en Twitter™ y Facebook.

Avisos legales   |   Política de privacidad en línea