Funkcja: Logowanie jednokrotne LDAP

Użytkownicy muszą zalogować się do systemu operacyjnego przy użyciu nazwy użytkownika z domeny serwera LDAP, aby możliwe było korzystanie z pojedynczego logowania za pomocą przeglądarki.

Obsługiwane są protokoły NTLM oraz Kerberos. Protokoły te są obsługiwane przez przeglądarkę w przypadku logowania jednokrotnego, wybór protokołu przez przeglądarkę zależy od różnych czynników.

Pola w obszarze roboczym:

W przypadku logowania jednokrotnego w LDAP musi istnieć specjalny użytkownik usługi, którego nazwę i hasło można wprowadzić w tej funkcji. Pod nagłówkiem Połączenie z serwerem LDAP znajdują się następujące pola:

• Nazwa hosta — nazwa lub adres IP, pod którym możliwy jest dostęp do serwera LDAP, zgodnie z definicją w funkcji LDAP – ogólnie.
• Port — port, pod którym możliwy jest dostęp do serwera LDAP, zgodnie z definicją w funkcji LDAP – ogólnie.
• Użytkownik usługi — użytkownik, którego uprawnienia są używane do uzyskiwania dostępu do serwera LDAP. Jest to dodatkowy użytkownik wymagany dla protokołu Kerberos.
• Hasło usługi — hasło użytkownika usługi do uwierzytelniania
• Aktywacja serwera aplikacji — serwery aplikacji, które mają być używane do logowania jednokrotnego, muszą być zarejestrowane na serwerze LDAP jako Service Principal Names (atrybut LDAP servicePrincipalName) dla użytkownika usługi

Jeśli serwerem LDAP jest Microsoft Active Directory, należy wykonać następujące czynności:

1. Utworzyć wyżej wymienionego użytkownika usługi na serwerze LDAP. Nie ma dalszych wymagań dotyczących ról lub uprawnień tego użytkownika.
2. Należy się zalogować do kontrolera domeny jako administrator domeny. Jeśli program setspn.exe nie jest dostępny, należy zainstalować opcjonalny składnik Support Tools odpowiedniej wersji systemu Windows. Następnie wykonać następujące polecenie dla każdego serwera aplikacji, który ma być używany z LDAP:

setspn -a HTTP/<host> <serviceuser>

• <host> to nazwa hosta (bez portu) serwera aplikacji.
• <serviceuser> to nazwa użytkownika usługi.

Spowoduje to utworzenie atrybutu LDAP servicePrincipalName dla serwera aplikacji.

Konfiguracja serwera aplikacji

Dalsza konfiguracja serwera aplikacji nie jest konieczna. Ustawienie Wymagany certyfikat w aplikacji System cockpit nie ma wpływu na logowanie jednokrotne — oznacza to, że logowanie jednokrotne może być również używane z ustawieniem Wymagany certyfikat.

Należy pamiętać, że serwer aplikacji musi używać co najmniej JRE 7 Update 4, aby możliwe było korzystanie z Kerberos.

Konfiguracja użytkowników w Comarch ERP Enterprise

W przypadku użytkowników, którzy mają logować się za pomocą pojedynczego logowania, nazwa użytkownika systemu operacyjnego musi być wprowadzona jako Nazwa użytkownika Windows. Konfiguracja odbywa się w aplikacji Panel system, typ Użytkownik, zakładka Edytor, podzakładka Ogólne, sekcja Identyfikacja.
Wpis w postaci nazwa_użytkownika@domena jest wymagany do korzystania z Kerberos.
Jeśli użytkownicy są zarządzani przez synchronizację LDAP, niezbędne wpisy dla Nazw użytkowników Windows są generowane automatycznie.

Konfiguracja przeglądarki

Jeśli w przeglądarce zainstalowany jest certyfikat, będzie on używany nawet w przypadku aktywacji logowania jednokrotnego. W sytuacji, gdy pojawi się okno dialogowe wyboru certyfikatu, pojedyncze logowanie można wybrać poprzez kliknięcie [Anuluj]. Dlatego zalecane jest, aby nie instalować certyfikatu.

Aby możliwe było korzystanie z protokołu Kerberos, w przeglądarce musi być włączona opcja Aktywuj zintegrowane uwierzytelnianie systemu Windows.

Jeśli pojedyncze logowanie nie działa w systemie Windows 7 lub Windows Server 2008 R2, należy aktywować ustawienie Automatyczne logowanie przy użyciu bieżącej nazwy użytkownika i hasła (w opcjach strefy w sekcji Uwierzytelnianie użytkownika) lub skorzystać ze strefy Lokalny intranet oraz przywrócić domyślne ustawienia przeglądarki.