Frage

Um die SSO-Authentifizierung mit CQ5 zu ermöglichen, ist in der Regel eine Drittanbieterautorität erforderlich, die einen Benutzer vorab authentifiziert, bevor eine Anfrage an CQ5 weitergeleitet wird. Wie kann dies mit IIS oder Apache 2.x erzielt werden?

 

Antwort, Auflösung

Als Voraussetzung muss SSO sowohl auf CQ5 als auch auf CRX aktiviert sein. Bitte beachten Sie diesen Kb-Artikel wie man das einrichtet.

Dieser Artikel beschreibt, wie man Windows NTLM-Authentifizierung über Apache und IIS mit CQ5 integriert, um SSO-Zugriff auf eine CQ5-Authoring-Instanz zu ermöglichen. Es wird davon ausgegangen, dass ein funktionierendes Setup des an die CQ5-Instanz angeschlossenen Dispatchers vorhanden ist.

 

IIS

Microsoft IIS bietet bereits integrierte Unterstützung für die NTLM-Authentifizierung, die über die Konfiguration aktiviert werden kann:

  • Aktivieren Sie Integrierte Windows-Authentifizierung in der Registerkarte Verzeichnissicherheit des IIS für die von diesem IIS-Server bediente CQ-Instanz.
  • Aktivieren Sie Server-Variablen mit der Anfrage als Header zu übergeben
  • Stellen Sie sicher, dass Ihre Website in der Intranet-Zone in den Sicherheitseinstellungen des IE aufgeführt ist

Um Servervariablen zu aktivieren, bearbeiten Sie die disp_iis.ini-Datei und setzen Sie die Server-Variablen auf 1. Dieser Link liefert eine Liste der im IIS verfügbaren Variablen.
Typische Header sind REMOTE_USER oder LOGON_USER. Bitte stellen Sie sicher, dass der Wert für die Benutzer-ID mit den IDs der Benutzer in CQ übereinstimmt.

 

Apache

Apache benötigt ein zusätzliches Modul zur Aktivierung der NTLM-Authentifizierung mod_auth_sspi. Die ID des aktuellen Windows-Benutzers kann dann aus der Apache-Umgebungsvariablen REMOTE_USER extrahiert werden, die als Anfrage-Header gesendet wird.

Beispielkonfiguration von httpd.conf:

LoadModule sspi_auth_module modules/mod_auth_sspi.so <VirtualHost *:80> ServerAdmin webmaster@xyz.com DocumentRoot "C:/Apache2.2/htdocs" ServerName localhost ErrorLog "logs/error.log" KeepAlive On <Location /> SetHandler dispatcher-handler AuthName "A Protected Place" AuthType SSPI SSPIAuth On SSPIUsernameCase lower require valid-user </Location> </VirtualHost>

 

Hinweis: Das Modul mod_auth_sspi Apache funktioniert nur mit der Windows-Version von Apache 2.x.

Für Linux-Installationen sind mögliche Lösungen entweder mod_ntlm, oder mod_headers.

 

Gilt für

CQ5.x

Dieses Werk unterliegt den Bedingungen der Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License.  Twitter™- und Facebook-Beiträge fallen nicht unter die Bedingungen der Creative Commons-Lizenz.

Rechtliche Hinweise   |   Online-Datenschutzrichtlinie