(from osdn.net/users/donguri)
Windowsサーバー2012、ActiveDirectory環境で、fess-10.3.2を利用させて頂こうとしております。
LDAPの設定例を参考に、ActiveDirectory連携がうまく動いた段階です。
ユーザーにパスワードを入力させる手間を省きたく、シングルサインオンを行いたいのですが、どのような選択肢がございますでしょうか?
Fess 10からはスタンドアロンのアプリケーションとして動くことを想定されているとの記事をこちらで拝見しております。
(from osdn.net/users/shinsuke)
SSOに関しては、現在、以下に対応しています。
・Windows統合認証
・OpenID Connect (Googleで確認)
現状、OSSとして公開できる形で手順をまとめては
いないのですが、Windows統合認証の設定は
AD連携の設定をした上で、fess_config.propertiesで
sso.type=spnego
spnego.preauth.username=認証用のシステムアカウント
spnego.preauth.password=パスワード
を設定して、/etc/fess/auth_login.conf を
spnego-client {
com.sun.security.auth.module.Krb5LoginModule required;
};
spnego-server {
com.sun.security.auth.module.Krb5LoginModule required
storeKey=true
isInitiator=false;
};
にして、/etc/fess/krb5.conf を(FESS.CODELIBS.LOCALドメインの場合)
[libdefaults]
default_realm = FESS.CODELIBS.LOCAL
default_tkt_enctypes = aes128-cts rc4-hmac des3-cbc-sha1 des-cbc-md5 des-cbc-crc
default_tgs_enctypes = aes128-cts rc4-hmac des3-cbc-sha1 des-cbc-md5 des-cbc-crc
permitted_enctypes = aes128-cts rc4-hmac des3-cbc-sha1 des-cbc-md5 des-cbc-crc
[realms]
FESS.CODELIBS.LOCAL = {
kdc = adserver.fess.codelibs.local
default_domain = FESS.CODELIBS.LOCAL
}
[domain_realm]
fess.codelibs.local= FESS.CODELIBS.LOCAL
.fess.codelibs.local= FESS.CODELIBS.LOCAL
のような感じで設定後、管理画面の全般で
ログインを必須にすると自動ログインされます。
(from osdn.net/users/donguri)
[メッセージ #79385 への返信]
ご教示頂いた情報に沿って、設定を行いました。
現在のところ、
システムエラー
サイト管理者にお問い合わせください。
となってしまい、fess.logでは、
ERROR HTTP Authorization Header=Negotiate <以下、略>
となってしまっております。
http://spnego.sourceforge.net/pre_flight.html
を参考に、HelloKDCでConnection test successful.を確認しましたので、
krb5.confとauth_login.confに問題は無いかと存じます。
どの辺りを設定確認すべきか、ご教示頂けますと幸いです。
どうぞよろしくお願いいたします。
(from osdn.net/users/donguri)
[メッセージ #79403 への返信]
解決致しましたので、ご報告いたします。
ADサーバーにSPNを登録しておりませんでした。
(基礎知識不足で恐縮です)
参考にしたサイト
http://spnego.sourceforge.net/spnego_tomcat.html
改めまして、ありがとうございました。
© 2020. All Rights Reserved - CodeLibs, Inc.