Knowledge Base3335gemischten Authentifizierung | Windows-Authentifizierung und Intrexx-Authentifizierung (und/oder Ldap-Authentifizierung)
Anleitung zur gemischten Authentifizierung in Verbindung mit IIS als Reverse Proxy und Intrexx ab der Version 19.03 zur gleichzeitigen Nutzung der Integrierten Authentifizierung (SSO / Windows-Authentifizierung) und der Intrexx Authentifizierung (und/oder LDAP-Authentifizierung).
Das folgende Szenario beschreibt ein Portal welches intern über eine Windows-Authentifizierung und extern über eine zweite Seite im IIS mit der Intrexx-Authentifizierung genutzt werden kann. Klassisches Szenario eines Portals welches sowohl im LAN (IIS Seite 1) als auch im Internet (IIS Seite 2) verfügbar sein soll.
Bitte beachten Sie, dass in diesem Szenario entweder:
a. mit zwei unterschiedliche URL (Basis-URL) gearbeitet werden muss, in diesem Fall kann Intrexx jedoch nicht vollumfänglich genutzt werden. Funktionen die auf Basis der URL fungieren sind in diesem Fall eingeschränkt, da das Portal somit mit zwei URLs aufgerufen wird, mögliche Probleme bilden z. B. Links welche auf das Intrexx-Portal zeigen.
b. mit einem vorgeschalteten Reverse-Proxy gearbeitet werden muss, welcher die Netzwerke unterscheiden kann und die Aufrufe auf gleicher URL verarbeitet aber auf unterschiedliche IP-Adressen zum Frontendwebserver (IIS) leiten kann.
Notwendig ist dies, da im IIS eine Trennung der Aufrufe stattfinden muss. Dies geschieht entweder über das Hostbinding (Variante a) oder über die IP Zuordnung (Variante b). Nur so kann der IIS, User mit der Integrierten Authentifizierung (SSO / Windows-Authentifizierung) über die Seite 1 und der Anonymen Authentifizierung (Intrexx Auth, LDAP Auth.) über die Seite 2 authentifizieren.
Zudem ist zu beachten, dass die notwendigen DNS-Einträge sowie die eventuell eingesetzten IP-Adressen Bindungen funktional sind und eingesetzt werden können.Testen können Sie die DNS-Einträge in dem Sie eine Seite im IIS erstellen und die Standard-Seite des IIS als Verzeichnis (C:\inetpub\wwwroot) hinterlegen. Achten Sie darauf, dass bei diesem Test immer nur eine der Seiten im IIS aktiv ist, da nur so sichergestellt werden kann, dass auch die richtige Seite (Seite1 / Seite2) den Aufruf entgegen nimmt.
Das folgende Szenario beschreibt ein Portal welches intern über eine Windows-Authentifizierung und extern über eine zweite Seite im IIS mit der Intrexx-Authentifizierung genutzt werden kann. Klassisches Szenario eines Portals welches sowohl im LAN (IIS Seite 1) als auch im Internet (IIS Seite 2) verfügbar sein soll.
Bitte beachten Sie, dass in diesem Szenario entweder:
a. mit zwei unterschiedliche URL (Basis-URL) gearbeitet werden muss, in diesem Fall kann Intrexx jedoch nicht vollumfänglich genutzt werden. Funktionen die auf Basis der URL fungieren sind in diesem Fall eingeschränkt, da das Portal somit mit zwei URLs aufgerufen wird, mögliche Probleme bilden z. B. Links welche auf das Intrexx-Portal zeigen.
b. mit einem vorgeschalteten Reverse-Proxy gearbeitet werden muss, welcher die Netzwerke unterscheiden kann und die Aufrufe auf gleicher URL verarbeitet aber auf unterschiedliche IP-Adressen zum Frontendwebserver (IIS) leiten kann.
Notwendig ist dies, da im IIS eine Trennung der Aufrufe stattfinden muss. Dies geschieht entweder über das Hostbinding (Variante a) oder über die IP Zuordnung (Variante b). Nur so kann der IIS, User mit der Integrierten Authentifizierung (SSO / Windows-Authentifizierung) über die Seite 1 und der Anonymen Authentifizierung (Intrexx Auth, LDAP Auth.) über die Seite 2 authentifizieren.
Zudem ist zu beachten, dass die notwendigen DNS-Einträge sowie die eventuell eingesetzten IP-Adressen Bindungen funktional sind und eingesetzt werden können.Testen können Sie die DNS-Einträge in dem Sie eine Seite im IIS erstellen und die Standard-Seite des IIS als Verzeichnis (C:\inetpub\wwwroot) hinterlegen. Achten Sie darauf, dass bei diesem Test immer nur eine der Seiten im IIS aktiv ist, da nur so sichergestellt werden kann, dass auch die richtige Seite (Seite1 / Seite2) den Aufruf entgegen nimmt.
Ausgangspunkt ist ein funktionierendes Portal mit dem IIS als Frontendwebserver und einer Intrexx Authentifizierung.
1. Unter <portal>/external einen zweiten htmlroot Ordner anlegen (z.B. htmlrootIntrexxAuth), nicht den bestehenden kopieren und umbenennen!
2. Aus dem bereits bestehenden htmlroot Ordner den Unterordner /bin in den neuen htmlrootIntrexxAuth Ordner kopieren.
3. Die web.config aus dem Anhang in den neuen htmlrootIntrexxAuth Ordner kopieren (ggf. den Port anpassen).
4. Im IIS Manager eine neue (zweite) eigenständige Site mit entsprechendem Binding (Hostname / IP-Adresse) anlegen und den neuen htmlrootIntrexxAuth Ordner als Zielverzeichnis angeben (dies ist die Seite für die Intrexx Authentifizierung)
5. Nun im Portal Manager unter Benutzer -> Konfiguration, "Authentifizierung durch IIS / Windows-Domäne" aktivieren. Hierdurch wird die zusätzliche Option "Integrierte Windows-Authentifizierung" automatisch aktiviert.
6. In der LucyAuth.cfg unter <Portal>/internal/cfg/ den Eintrag, mit einem UTF8-fähigen Editor (Notepad++), für IntegratedAuth wie folgt ändern ***Alternative Authentifizierungskombinationen entnehmen Sie bitte der auth.txt im Anhang:
IntegratedAuth
{
de.uplanet.lucy.server.auth.module.integrated.IntegratedLoginModule sufficient
debug=false;
de.uplanet.lucy.server.auth.module.intrexx.IntrexxLoginModule sufficient
debug=false;
de.uplanet.lucy.server.auth.module.anonymous.AnonymousLoginModule sufficient
debug=false;
};
7. Intrexx Portal Dienst neu starten
1. Unter <portal>/external einen zweiten htmlroot Ordner anlegen (z.B. htmlrootIntrexxAuth), nicht den bestehenden kopieren und umbenennen!
2. Aus dem bereits bestehenden htmlroot Ordner den Unterordner /bin in den neuen htmlrootIntrexxAuth Ordner kopieren.
3. Die web.config aus dem Anhang in den neuen htmlrootIntrexxAuth Ordner kopieren (ggf. den Port anpassen).
4. Im IIS Manager eine neue (zweite) eigenständige Site mit entsprechendem Binding (Hostname / IP-Adresse) anlegen und den neuen htmlrootIntrexxAuth Ordner als Zielverzeichnis angeben (dies ist die Seite für die Intrexx Authentifizierung)
5. Nun im Portal Manager unter Benutzer -> Konfiguration, "Authentifizierung durch IIS / Windows-Domäne" aktivieren. Hierdurch wird die zusätzliche Option "Integrierte Windows-Authentifizierung" automatisch aktiviert.
6. In der LucyAuth.cfg unter <Portal>/internal/cfg/ den Eintrag, mit einem UTF8-fähigen Editor (Notepad++), für IntegratedAuth wie folgt ändern ***Alternative Authentifizierungskombinationen entnehmen Sie bitte der auth.txt im Anhang:
IntegratedAuth
{
de.uplanet.lucy.server.auth.module.integrated.IntegratedLoginModule sufficient
debug=false;
de.uplanet.lucy.server.auth.module.intrexx.IntrexxLoginModule sufficient
debug=false;
de.uplanet.lucy.server.auth.module.anonymous.AnonymousLoginModule sufficient
debug=false;
};
7. Intrexx Portal Dienst neu starten
Intrexx Version:
- SteadyTrack
- SilentTrack
- 19.03
Details:
Kategorie:Benutzerverwaltung
Betriebssystem:unspecific
Datenbank:unspecific
Stand von:01-08-2023