Sie müssen den MSAD-Server konfigurieren, um SSO zu aktivieren.
Windows DC/DNS Server vorbereiten
- Die standardmäßige OU Users wird angezeigt.
- Erstellen Sie eine Siveillance Control-Domäne.
- Exportieren Sie das Siveillance Control-Benutzerobjekt als LDIF-Datei, indem Sie den folgenden Befehl ausführen:
ldifde -f exportuser.ldf -s [Host] -d "cn=Users,
dc=[Kontext]" –l
DistinguishedName,givenName,objectClass,sn,samAccountName,memberOf–r
- Host: Hostname für den Windows DS-Server.
- Kontext: Kontext im Active Directory, z. B. dc=bt
- samAccountName: Name des neu angelegten Benutzers, z. B. Siveillance Control.
- Erstellen Sie die OU System Users unter der Domäne root.
- Geben Sie alle beteiligten Hosts in das Windows Server-DNS ein.
Keytab-Datei erstellen
Mit dem Skript zur Erstellung der keytab-Dateien können Sie die folgenden Aufgaben automatisieren:
- Benutzerobjekt im AD in der OU System User für den jeweiligen Linux-Host erzeugen.
- Service Principal Names (SPN) für das generierte Objekt setzen.
- Keytab-Dateien unter Verzeichnis c:\temp erzeugen.
- Kopieren Sie folgendes Skript in einen Texteditor:
@REM "dryrun=@echo" aktiviert den Probelaufmodus
set dryrun=@echo
set dryrun=
set HOSTNAME=MHFR1113V-RT
@REM Groß- und Kleinschreibung könnte wichtig sein und muss beachtet werden.
set DOMAIN=bt.mchp.internal
set REALM=bt.mchp.internal
set FQHN=%HOSTNAME%.%DOMAIN%
@REM Wichtig: Der Wert des SAMID-Parameters darf nicht
zu lang sein, anderenfalls: "Der angegebene Name hat ein
falsches Format für einen Kontonamen."
set SAMID=Siemens_%HOSTNAME%
set DN="CN=%SAMID%,OU=System
Users,DC=bt,DC=mchp,DC=internal"
set PASSWORD=xyz
@REM Verwenden Sie keine Portdefinitionen in FQHN.
set SPN_FQN=HTTP/%FQHN%
set SPN_HOST_ONLY=HTTP/%HOSTNAME%
set KTPASS_PRINCIPAL=%SPN_FQN%@%REALM%
@REM Benutzer erstellen
%dryrun% dsadd user %DN% -samid %SAMID% -upn
"%SAMID%@%REALM%" -ln %SAMID% -pwd %PASSWORD% -mustchpwd no
-canchpwd no -pwdneverexpires yes -disabled no
@echo
@REM SPN hinzufügen
%dryrun% setspn -A %SPN_FQN% %SAMID%
%dryrun% setspn -A %SPN_HOST_ONLY% %SAMID%
@echo
@REM keytab exportieren
%dryrun% if not exist "C:\temp" mkdir C:\temp
%dryrun% ktpass -out C:\temp\%FQHN%.keytab -mapuser %SAMID%@%REALM% -princ %KTPASS_PRINCIPAL% -pass %PASSWORD% -ptype KRB5_NT_PRINCIPAL -kvno 0 -crypto All
%dryrun% dir C:\temp\%FQHN%.keytab
@REM beenden /B
Pause
- Ersetzen Sie die folgenden Werte:
- hostname: Geben Sie den Hostnamen des entsprechenden Linux-Hosts ein.
- domain: Geben Sie den FQDN der Domäne ein.
- realm: Geben Sie den FQDN der Domäne ein.
- samid: Geben Sie [Präfix]-[Hostname] ein.
- dn: Kontext im AD, wo die Objekte abgelegt werden.
- password: Vergeben Sie ein Passwort.
- Speichern Sie das Skript als .txt-Datei.
- Ändern Sie die Dateiendung in .bat.
- Öffnen Sie auf dem Windows-Server ein Terminalfenster im Administratormodus.
- Führen Sie die .bat-Datei für jeden Linux-Host aus.
- Pro Siveillance Control wird ein Benutzerobjekt mit dem Namen im Format [Präfix]-[Hostname] angelegt.
- Die keytab-Dateien [Hostname des Siveillance Control-Servers].keytab für die Siveillance Control-Server werden im Verzeichnis c:\temp angelegt.
- Kopieren Sie für jeden Siveillance Control-Server die erstellte keytab-Datei [Hostname des Siveillance Control-Servers].keytab aus dem Windows-Server-Verzeichnis C:\temp\ in das Verzeichnis /etc/viewpoint auf dem entsprechenden Siveillance Control-Server.
Zeitserver auf dem DC
Die einzelnen Siveillance Control-Komponenten müssen exakt mit derselben Zeiteinstellung laufen. Da Windows-Clients, die Mitglied einer Domäne sind, ihre Zeit vom DC beziehen, sollte man auf dem DC einen Zeitserver referenzieren (w32tm /config /manualpeerlist: Zeitserver-IP /syncfromflags:manual). Das Gleiche gilt für die Linux-Komponenten von Siveillance Control.
Siveillance Control-Client-Computer anpassen
Sie müssen den Siveillance Control-Client für die Verwendung von SSO anpassen.
- Nehmen Sie den W10-Host (Siveillance Control Client-Rechner) in die Windows-Domäne auf.
- Ändern Sie den Hostnamen in den im DNS-Eintrag angegebenen Namen.
- Geben Sie eine korrekte IP-Adresse des DNS-Servers ein. Die IP-Adresse muss zu Ihrer Windows-Domäne passen.
- Stellen Sie sicher, dass JRE >=1.8.0.301-b09 auf dem W10-Host installiert ist. Die Kompatibilität mit neueren Versionen ist möglich, wird jedoch nicht garantiert.
LDIF-Datei importieren
Bevor die SSO-Authentifizierung genutzt werden kann, muss die LDIF-Datei mit den MSAD-Benutzern importiert werden.
- Öffnen Sie den Engineering-Client.
- Melden Sie sich als lokaler Benutzer an.
- Stellen Sie sicher, dass das Kontrollkästchen Windows-Sitzungsauthentifizierung verwenden aktiviert ist.
- Öffnen Sie die Perspektive Versorgung:
- Klicken Sie auf Daten importieren.
- Wählen Sie LDIF-Import.
- Wählen Sie die Importeinstellungen.
- Klicken Sie auf Fertigstellen.
Siveillance Control-Server anpassen
- Ändern Sie den Hostnamen in der Datei /etc/hostname.
- Ändern Sie die Datei /etc/resolv.conf.
- Falls der Siveillance Control-Server mit NetworkManager installiert ist, muss zum Ändern der Datei resolv.conf ebenfalls der NetworkManager verwendet werden (nmtui). Anderenfalls wird die Datei resolv.conf beim Neustart des Servers überschrieben.
- Passen Sie die Datei /etc/hosts an.
- Geben Sie eine korrekte IP-Adresse des DNS-Servers ein. Die IP-Adresse muss zu Ihrer Windows-Domäne passen.
- Falls Siveillance Control bereits auf dem Server installiert ist, stellen Sie sicher, dass neue Zertifikate erzeugt werden und diese auf allen Windows-Clients importiert werden.
SSO auf dem Server aktivieren
- Kopieren Sie die keytab-Datei, die auf dem Domänenserver erstellt wurde, auf den Engineering-Server und aktivieren Sie sie mithilfe des folgenden Befehls:
/usr/share/viewpoint/bin/viewpoint-msad.sh set enabled=true principal=HTTP/[Server-Hostname].[Domäne]@[Realm] suffix=@[Realm] keytab=[Pfad auf erzeugte .keytab]
Parameter „principal“
Der Parameter „principal“ leitet sich aus den Parametern ab, die sich bei der Konfiguration des MSAD-Servers ergeben. Weitere Informationen finden Sie unter: Keytab-Datei erstellen. Der Hostname des Siveillance Control-Servers, der Domänenname, der Realmname (häufig identisch mit dem Domänennamen).
Das Format wird immer wie folgt definiert: HTTP/[Hostname].[Domänenname]@[Realmname]
Parameter „suffix“
Der Parameter „suffix“ steht immer hinter dem Parameter „principal“ und beginnt mit @[Realmname].
z. B.:
/usr/share/viewpoint/bin/viewpoint-msad.sh set enabled=true principal=HTTP/tomdomain.siemens.com@siemens.com suffix=@siemens.com keytab=/etc/viewpoint/default.keytab
- Überprüfen Sie, ob SSO auf dem Server korrekt installiert ist, indem Sie den folgenden Befehl eingeben:
/usr/share/viewpoint/bin/viewpoint-msad.sh show
- Die Konfiguration der MSAD-Einstellungen wird angezeigt.
Authentication with MSAD enabled:
enabled: true
principal: HTTP/ vp-server-eng.bt.mchp.intern@bt.mchp.intern
suffix: @bt.mchp.intern
keytab: /etc/viewpoint/vp-server-eng.keytab
- Stellen Sie Folgendes sicher:
- enabled ist true.
- Der „principal“-Name stimmt mit dem auf dem MSAD-Server konfigurierten Namen überein.
- Keine Warnung wird angezeigt. Nur dann wird die keytab-Datei korrekt für den aktuellen Server konfiguriert.