SSO dennoch möglich?
Eingetragen von airliner (309)am 30.07.2009 - 10:15 Uhr in
Ich häng derzeit etwas arg in der Luft.
Zunächste habe ich es mit Drupal5 versucht, sah ganz chic aus, nur ließ sich das Webserver_auth-Modul nicht patchen (immerhin sollte man sich nach einem LogIn auch ausloggen können, was aber nicht passierte).
Jetzt habe ich mich am LDAP-Integration-Modul versucht. Wenn ich sämtliche Einstellungen dafür finde, würde es mit Sicherheit auch klappen sich gegen unser AD zu authentifizieren. Nur dann funktioniert der Single-Sign-On wiederum nicht (warum eigentlich?). Das LDAP-Modul wollte ich aber dafür nutzen, um die User-Profile zu importieren und in unserem Intranet verfügbar machen, gibt es ja auch ein schönes Tutorial zu: http://rajeev.name/blog/2007/07/21/drupal-profiles-with-active-directory...
Pro D5: LDAP bekomme ich zum Laufen (mit dem Tutorial)
Contra D5: Webserver_auth lässt sich nicht patchen, dass der LogOut funktioniert (denn um das SSO zu realisieren müsste man sich bei uns am Weberver anmelden,wieso weshalb warum, fragt mich nicht, bin nur einfacher Student, der mal Drupal testweise ausprobieren sollte. Ich würde das trotzdem gern zu einem Abschluss bringen, und zwar so, dass es funktioniert)
Pro D6: Webserver_auth lässt sich patchen und logout SCHEINT zu funktionieren (in wirklichkeit tut er es nämlich nicht, weil beim LogOut der Cookie nicht gelöscht wird und man laut Browser immernoch drin ist)
Contra D6: es ist lahm & Ich habe noch nichts gefunden, wie ich die User-Profile aus dem LDAP importieren kann, außerdem hatte es nach dem Upgrad böse meine Menüs zerruppt.
Das mit den Userprofilen ist zwar nicht höchste Priorität, sollte aber mit drin sein. Am Wichtigsten ist einfach, dass der SSO funktioniert!
Hoffe, es kann jemand helfen...
- Anmelden oder Registrieren um Kommentare zu schreiben
Wo liegen genau die Schwierigkeiten?
am 31.07.2009 - 09:30 Uhr
Ich benutze "ldap_integration" zur Authentifizierung, Identifizierung der Gruppenzugehörigkeit und dem Data-Import (Profile).
Ich kann dir nur den Tipp geben eines nach dem anderen zu aktivieren; angefangen mit dem Auth-Modul, dann Gruppe und zum Schluss die Profildaten.
Die Authentifikation würde ich immer im gemischten Modus konfigurieren. Wenn keine "echtes" SSL-Zertifikat auf dem LDAP-Server ist gehe über Port 389 ohne TLS. Die Basis-DN ist genau wie bei Drupal 5, sollte also klappen. Passwort nicht speichern, damit erzwingst du immer die neue Anmeldung über LDAP und das Cookie-Problem sollte gelöst sein. Ich habe bei mir auch den "Request new Passwort" abgeschaltet, wer sich nicht einloggen kann, hat bei uns ein anderes Problem das über das Trustcenter gelöst werden muss.
Im nächsten Schritt würde ich die Gruppen aktivieren.
Bei dem Data-Modul musst du vorher nur die Profilfelder unter Benutzerverwaltung >> Profile anlegen. Das Mapping wird dann über das LDAP-Data-Modul konfiguriert und bei jedem neuen Login abgeglichen/gespeichert. Die Anzeige wiederum ist reine Drupal-Sache und hat generell nichts mit LDAP zu tun. Es gibt zwar auch die Möglichkeit Profil-Daten zurückzuschreiben, habe ich aber noch nie ausprobiert.
Gruß
UwBach
UwBach schrieb Ich benutze
am 31.07.2009 - 09:51 Uhr
Ich benutze "ldap_integration" zur Authentifizierung, Identifizierung der Gruppenzugehörigkeit und dem Data-Import (Profile).
Und genau bei der Authentifizierung liegt das "Problem" oder vielmehr meine Bedenken.
Ich habe nun schon mehrmals gelesen, dass mit dem LDAP-Modul kein SSO möglich ist.
Dafür habe ich jetzt das Webserver_auth-Modul, was auch zu funktionieren scheint, solange man es allein laufen lässt.
Nun bin ich dabei mir die benötigten Infos (DC, CN, etc) zu besorgen um das LDAP auszuprobieren.
Die LDAP-Geschichte soll dabei nur dazu dienen die User-Infos und Gruppen reinziehen.
Denke mal, dass es da zu Inkompatibiltäten der Userprofile kommt, denn webserver_auth bastelt ja auch welche...
My software has no bugs - It just develops random features...
Single-Sign-On und LDAP ..
am 31.07.2009 - 10:10 Uhr
sind zwei verschiedene Dinge. Ich setze SSO, in der Form, nicht ein und kann daher darüber nicht viel sagen. Wenn du die Authentifikation über den Webserver machst, kannst du die Daten auch direkt auf dem Webserver speichern und in einem eigenen Modul in Drupal eintragen.
Gruß
UwBach
Wegen der Speicherung im
am 31.07.2009 - 10:49 Uhr
Wegen der Speicherung im Webserver muss ich meinen Site-Manager mal fragen.
Ich hab jetzt weiter rumprobiert und ldapgroup alsauch ldapdata machen Probleme:
user warning: Unknown column 'ldapdata_bindpw_clear' in 'field list' query: SELECT ldapdata_mappings, ldapdata_roattrs, ldapdata_rwattrs, ldapdata_binddn, ldapdata_bindpw, ldapdata_bindpw_clear FROM ldapauth WHERE sid = 1 in C:\Inetpub\wwwroot\drupal6\sites\default\modules\ldap_integration\ldapdata.admin.inc on line 66.
Was soll mir das jetzt bitte sagen?
My software has no bugs - It just develops random features...
Setze mal unter ..
am 31.07.2009 - 11:41 Uhr
LDAP-Authentification >> Sicherheitsoptionen >> das Optionsfeld "Die Passwörter der Benutzer nicht während der Sitzungen speichern".
Dann sollte die Fehlermeldung weg sein.
Gruß
UwBach