Sie müssen den MSAD-Server konfigurieren, um SSO zu aktivieren.

Windows DC/DNS Server vorbereiten

  • Die standardmäßige OU Users wird angezeigt.
  1. Erstellen Sie eine Siveillance Control-Domäne.
  1. Exportieren Sie das Siveillance Control-Benutzerobjekt als LDIF-Datei, indem Sie den folgenden Befehl ausführen:
    ldifde -f exportuser.ldf -s [Host] -d "cn=Users,
    dc=[Kontext]" –l
    DistinguishedName,givenName,objectClass,sn,samAccountName,memberOf
    –r
  • Host: Hostname für den Windows DS-Server.
  • Kontext: Kontext im Active Directory, z. B. dc=bt
  • samAccountName: Name des neu angelegten Benutzers, z. B. Siveillance Control.
  1. Erstellen Sie die OU System Users unter der Domäne root.
  1. Geben Sie alle beteiligten Hosts in das Windows Server-DNS ein.

Keytab-Datei erstellen

Mit dem Skript zur Erstellung der keytab-Dateien können Sie die folgenden Aufgaben automatisieren:

  • Benutzerobjekt im AD in der OU System User für den jeweiligen Linux-Host erzeugen.
  • Service Principal Names (SPN) für das generierte Objekt setzen.
  • Keytab-Dateien unter Verzeichnis c:\temp erzeugen.
  • Kopieren Sie folgendes Skript in einen Texteditor:

@REM "dryrun=@echo" aktiviert den Probelaufmodus
set dryrun=@echo
set dryrun=

set HOSTNAME=MHFR1113V-RT
@REM Groß- und Kleinschreibung könnte wichtig sein und muss beachtet werden.
set DOMAIN=bt.mchp.internal
set REALM=bt.mchp.internal
set FQHN=%HOSTNAME%.%DOMAIN%
@REM Wichtig: Der Wert des SAMID-Parameters darf nicht
zu lang sein, anderenfalls: "Der angegebene Name hat ein
falsches Format für einen Kontonamen."
set SAMID=Siemens_%HOSTNAME%
set DN="CN=%SAMID%,OU=System
Users,DC=bt,DC=mchp,DC=internal"
set PASSWORD=xyz

@REM Verwenden Sie keine Portdefinitionen in FQHN.
set SPN_FQN=HTTP/%FQHN%
set SPN_HOST_ONLY=HTTP/%HOSTNAME%
set KTPASS_PRINCIPAL=%SPN_FQN%@%REALM%

@REM Benutzer erstellen
%dryrun% dsadd user %DN% -samid %SAMID% -upn
"%SAMID%@%REALM%" -ln %SAMID% -pwd %PASSWORD% -mustchpwd no
-canchpwd no -pwdneverexpires yes -disabled no
@echo

@REM SPN hinzufügen
%dryrun% setspn -A %SPN_FQN% %SAMID%
%dryrun% setspn -A %SPN_HOST_ONLY% %SAMID%
@echo

@REM keytab exportieren
%dryrun% if not exist "C:\temp" mkdir C:\temp
%dryrun% ktpass -out C:\temp\%FQHN%.keytab -mapuser %SAMID%@%REALM% -princ %KTPASS_PRINCIPAL% -pass %PASSWORD% -ptype KRB5_NT_PRINCIPAL -kvno 0 -crypto All
%dryrun% dir C:\temp\%FQHN%.keytab

@REM beenden /B
Pause

  1. Ersetzen Sie die folgenden Werte:
  • hostname: Geben Sie den Hostnamen des entsprechenden Linux-Hosts ein.
  • domain: Geben Sie den FQDN der Domäne ein.
  • realm: Geben Sie den FQDN der Domäne ein.
  • samid: Geben Sie [Präfix]-[Hostname] ein.
  • dn: Kontext im AD, wo die Objekte abgelegt werden.
  • password: Vergeben Sie ein Passwort.
  1. Speichern Sie das Skript als .txt-Datei.
  1. Ändern Sie die Dateiendung in .bat.
  1. Öffnen Sie auf dem Windows-Server ein Terminalfenster im Administratormodus.
  1. Führen Sie die .bat-Datei für jeden Linux-Host aus.
  • Pro Siveillance Control wird ein Benutzerobjekt mit dem Namen im Format [Präfix]-[Hostname] angelegt.
  • Die keytab-Dateien [Hostname des Siveillance Control-Servers].keytab für die Siveillance Control-Server werden im Verzeichnis c:\temp angelegt.
  1. Kopieren Sie für jeden Siveillance Control-Server die erstellte keytab-Datei [Hostname des Siveillance Control-Servers].keytab aus dem Windows-Server-Verzeichnis C:\temp\ in das Verzeichnis /etc/viewpoint auf dem entsprechenden Siveillance Control-Server.

Zeitserver auf dem DC

Die einzelnen Siveillance Control-Komponenten müssen exakt mit derselben Zeiteinstellung laufen. Da Windows-Clients, die Mitglied einer Domäne sind, ihre Zeit vom DC beziehen, sollte man auf dem DC einen Zeitserver referenzieren (w32tm /config /manualpeerlist: Zeitserver-IP /syncfromflags:manual). Das Gleiche gilt für die Linux-Komponenten von Siveillance Control.

Siveillance Control-Client-Computer anpassen

Sie müssen den Siveillance Control-Client für die Verwendung von SSO anpassen.

  1. Nehmen Sie den W10-Host (Siveillance Control Client-Rechner) in die Windows-Domäne auf.
  1. Ändern Sie den Hostnamen in den im DNS-Eintrag angegebenen Namen.
  1. Geben Sie eine korrekte IP-Adresse des DNS-Servers ein. Die IP-Adresse muss zu Ihrer Windows-Domäne passen.
  1. Stellen Sie sicher, dass JRE >=1.8.0.301-b09 auf dem W10-Host installiert ist. Die Kompatibilität mit neueren Versionen ist möglich, wird jedoch nicht garantiert.

LDIF-Datei importieren

Bevor die SSO-Authentifizierung genutzt werden kann, muss die LDIF-Datei mit den MSAD-Benutzern importiert werden.

  1. Öffnen Sie den Engineering-Client.
  1. Melden Sie sich als lokaler Benutzer an.
  1. Stellen Sie sicher, dass das Kontrollkästchen Windows-Sitzungsauthentifizierung verwenden aktiviert ist.
  1. Öffnen Sie die Perspektive Versorgung:
  1. Klicken Sie auf  Daten importieren.
  1. Wählen Sie LDIF-Import.
  1. Wählen Sie die Importeinstellungen.
  1. Klicken Sie auf Fertigstellen.

Siveillance Control-Server anpassen

  1. Ändern Sie den Hostnamen in der Datei /etc/hostname.
  1. Ändern Sie die Datei /etc/resolv.conf.
  1. Falls der Siveillance Control-Server mit NetworkManager installiert ist, muss zum Ändern der Datei resolv.conf ebenfalls der NetworkManager verwendet werden (nmtui). Anderenfalls wird die Datei resolv.conf beim Neustart des Servers überschrieben.
  1. Passen Sie die Datei /etc/hosts an.
  1. Geben Sie eine korrekte IP-Adresse des DNS-Servers ein. Die IP-Adresse muss zu Ihrer Windows-Domäne passen.
  1. Falls Siveillance Control bereits auf dem Server installiert ist, stellen Sie sicher, dass neue Zertifikate erzeugt werden und diese auf allen Windows-Clients importiert werden.

SSO auf dem Server aktivieren

  • Kopieren Sie die keytab-Datei, die auf dem Domänenserver erstellt wurde, auf den Engineering-Server und aktivieren Sie sie mithilfe des folgenden Befehls:

/usr/share/viewpoint/bin/viewpoint-msad.sh set enabled=true principal=HTTP/[Server-Hostname].[Domäne]@[Realm] suffix=@[Realm] keytab=[Pfad auf erzeugte .keytab]

Parameter „principal“

Der Parameter „principal“ leitet sich aus den Parametern ab, die sich bei der Konfiguration des MSAD-Servers ergeben. Weitere Informationen finden Sie unter: Keytab-Datei erstellen. Der Hostname des Siveillance Control-Servers, der Domänenname, der Realmname (häufig identisch mit dem Domänennamen).

Das Format wird immer wie folgt definiert: HTTP/[Hostname].[Domänenname]@[Realmname]

Parameter „suffix“

Der Parameter „suffix“ steht immer hinter dem Parameter „principal“ und beginnt mit @[Realmname].

z. B.:

/usr/share/viewpoint/bin/viewpoint-msad.sh set enabled=true principal=HTTP/tomdomain.siemens.com@siemens.com suffix=@siemens.com keytab=/etc/viewpoint/default.keytab

  • Überprüfen Sie, ob SSO auf dem Server korrekt installiert ist, indem Sie den folgenden Befehl eingeben:
    /usr/share/viewpoint/bin/viewpoint-msad.sh show
  • Die Konfiguration der MSAD-Einstellungen wird angezeigt.

Authentication with MSAD enabled:

enabled: true

principal: HTTP/ vp-server-eng.bt.mchp.intern@bt.mchp.intern

suffix: @bt.mchp.intern

keytab: /etc/viewpoint/vp-server-eng.keytab

  • Stellen Sie Folgendes sicher:
  • enabled ist true.
  • Der „principal“-Name stimmt mit dem auf dem MSAD-Server konfigurierten Namen überein.
  • Keine Warnung wird angezeigt. Nur dann wird die keytab-Datei korrekt für den aktuellen Server konfiguriert.