Damit wird technisch realisiert, dass die primäre Benutzerverwaltung im LDAP stattfinden kann und Ressourcen auf den Plattformen Windows, Linux und Unix platziert werden können. D.h. es besteht die Möglichkeit, Benutzerkonten auf Windows Servern, Windows Domänen (NT 4.0 / ADS) und UNIX Servern automatisch verwalten zu lassen und als Ressourcen in der LDAP Benutzerverwaltung zu integrieren.

Der Comtarsia Logon Client sowie das Comtarsia SignOn Gate stellt nicht nur eine optimale Migrationshilfe dar, sondern der Vorteil, die Benutzerverwaltung von der Ressourcenverwaltung losgelöst zu betreiben, bedeutet so eine sehr entscheidende Unabhängigkeit gegenüber Hersteller propräterer Lösungen. Somit steht Comtarsia auch für Single SignOn, zentrale Benutzerverwaltung und Security Management.

1.1.2 Was passiert beim Synchronisieren?

Der Comtarsia Logon Client 2006 schickt bei jeder Anmeldung eine Synchronisationsanforderung, sog. SignOn Sync Packet an den Server, an welchem der SignOn Proxy Server läuft, welches dann an die jeweiligen SignOn Agents weitergeleitet wird.

Die SignOn Agents stellen sicher, dass

ü das Benutzerkonto existiert

ü es ein synchrones Passwort enthält

ü es die entsprechenden Zugriffsrechte für das Home Directory besitzt

ü die entsprechenden Gruppen, in denen der Benutzer Mitglied ist, existieren oder erstellt werden

1.1.3 Um laufend up-to-date zu sein

Bei einem Passwortwechsel werden automatisch alle notwendigen Ressource Server aktualisiert. Somit kann das Problem, nicht synchroner Passwörter, welches bei sämtlichen zeitgesteuerten Passwort-Synchronisationswerkzeugen immer gegeben ist, nicht auftreten.

Es wird bei jeder Anmeldung sichergestellt, dass der Benutzer die entsprechenden Zugriffsrechte auf alle Ressourcen erhält.

1.1.4 Sicherheit

Für die Übertragung der Anmeldedaten wird eine RSA Verschlüsselung verwendet.

Um genauere Informationen über die RSA-Verschlüsselung innerhalb der SignOn Gate Familie zu erhalten ziehen Sie das Handbuch “SignOnGate_RSA_DE“ zu rate.

Damit vom Sicherheitsstandpunkt her betrachtet, eine hundertprozentige Vertrauensstellung vom Proxy Server zu dem LDAP Directory gegeben ist, wird eine zusätzliche Proxy-Gegenprüfung zu der voreingestellten Domäne bzw. Server durchgeführt.

Der Security Agent bietet erhöhte Sicherheit in Kombination mit dem SignOn Agent. Automatisch vom SignOn Agent erzeugte Benutzerkonten werden nach einer frei definierbaren Inaktiv-Zeit automatisch wieder deaktiviert um das Umgehen der zentralen Benutzerverwaltung zu verhindern.

1.2 Comtarsia Sign On Produkt Übersicht

1.3 Installation

Dieses Handbuch beschreibt die Installation des Comtarsia SignOn Agent sowie des Comtarsia SignOn Proxies mithilfe des InstallShield-Installers.

Administratoren-Rechte werden für die Installation benötigt.

1.3.1 Die Installation

Durch das Ausführen der Datei SignOnGate-1.1.x.4.exe wird die Installation begonnen.

Nach der Eingabe von Benutzername und Organisation, kann der Benutzerkreis gewählt werden, für welchen die zu installierenden Programme zur Verfügung gestellt werden sollen.

Anschließend kann das Installationsverzeichnis des Comtarsia SignOn Gate 2006 gewählt werden.

Nun folgt die Auswahl der zu installierenden Komponenten: Comtarsia SignOn Proxy und/oder Comtarsia SignOn Agent.

Nachdem von dem Installationsprogramm alle erforderlichen Komponenten kopiert und registriert wurden, wird automatisch der Konfigurator für die gewählten Programmmodule gestartet.

1.3.2 Konfiguration des SignOn Agent

Allgemeine Parameter

In das Feld IP Address wird die IP-Adresse des Rechners eingetragen, auf welchem der Comtarsia SignOn Proxy installiert ist(“Proxy Server(IP address)”).

Falls sowohl der SignOn Agent als auch der SignOn Proxy auf demselben Rechner installiert sind, kann hier die Standardeinstellung belassen werden (127.0.0.1).

Im Bereich “SOA Policy Options” können erweiterte Einstellungen, die Benutzersynchronisation betreffend, vorgenommen werden.

Check Password: Diese Einstellung bewirkt, dass das Passwort automatisch synchronisiert wird.

Create User: Falls das Benutzerkonto nicht existiert, wird es automatisch erstellt.

Add to Group, Remove from Group: Die Gruppenzugehörigkeit wird entsprechend der globalen Benutzerverwaltung und der “Groupmapping List“ angeglichen.

Recreate User on Error: Falls bei der Benutzersynchronisation ein Fehler auftritt, z.B. das Benutzerkonto kann nicht synchronisiert werden, wird das Benutzerkonto neu erstellt und das Passwort synchronisiert.

Activate All Users: Wenn das zu synchronisierende Benutzerkonto deaktiviert ist, wird dieses selbst dann wieder aktiviert, wenn es nicht vom Agent angelegt wurde. Anderfalls werden nur vom Agent erstellte Benutzerkonten aktiviert (gekennzeichnet mit der „user description” „SERV_TMP_USER“).

Unter "Home Directory Options" kann konfiguriert werden, ob und wie Benutzerverzeichnisse erstellt werden sollen.

Sollen die Benutzerverzeichnisse automatisch erstellt werden, müssen die Optionen "Create Home Directory" und "Home Directory Path" aktiviert sein.

"Home Directory Path" zeigt auf ein Verzeichnis, in welchem die neuen Benutzerverzeichnisse erstellt werden sollen (z.B.: c:\home).

Ist der Comtarsia SignOn Agent auf einem Windows Domain Controller installiert, so kann als "Home Directory Path" der Begriff “CLIENT” angegeben werden, so verwendet der SignOn Agent die vom Logon Client mitgeschickten Einstellungen. Durch die Angabe eines UNC-Pfades, kann das Benutzerverzeichniss auch auf einem anderen Server in der selben Windows-Domain wie der SignOn Agent erzeugt werden. Im UNC-Pfad wird unbedigt der Name des Servers benötigt, die Angabe einer IP-Adresse funktioniert hier nicht.

Durch die Optionen "Set Home Directory Path" und "Set Profile Path" kann auch das Windows-Benutzerobjekt automatisch mit den Benutzerverzeichnis und Profil-Einstellungen aktualisiert werden.

Wenn in der zentralen Benutzerverwaltung kein lokaler Laufwerksbuchstabe für das Benutzerverzeichnis angegeben wurde, so kann dies über den SignOn Agent für die Windows-Benutzerdatenbank nachgeholt werden.

Diese Optionen werden hauptsächlich bei einer Migration benötigt und finden im normalen Betrieb des SignOn Gate kaum Anwendung.

Unter „ADS Options“ kann man mittels „Enable ADS support“ die Unterstützung für den ADS-Modus aktivieren. Dadurch erhält man die Möglichkeit zusätzliche ADS-relevante Synchronisations-Einstellungen zu treffen.

„Set ADS Principal Name“: Setzt den Principal-name des ADS Benutzerobjektes. Der Principal-name wird aus UID des LDAP-Benutzerobjektes und der Active Directory Domäne zusammengesetzt. (UID@ADS-Domain)

„Set Given and Sur Name“: Setzt den Vor- und Nach-Namen des ADS Benutzerobjekts. Hierfür werden die LDAP-Attribute SN und GivenName verwendet.

„Enable OU Move“: Dadurch erhält man die Möglichkeit Benutzer in anderen „Active Directory OUs“ als der default OU (cn=users) abzulegen. „UserDNPrefix“ gibt den Präfix des „AD Benutzerobjekts“ an (Default „cn=“). Siehe OU-Zuordnung.

„Enable Sync Attributes“: hiermit kann man “Sync Attribute” aktivieren. (siehe Sync Attributes)

Gruppenzuordnung

Eine Gruppenzuordnung durch “gleiche Namen” kann sowohl für allein stehende Server als auch für Domain Controller konfiguriert werden: Der Benutzer wird in sämtlichen Gruppen Mitglied, in welchen er auch Mitglied in der primären Benutzerverwaltung ist. Sind Gruppen auf dem lokalen Server nicht verfügbar, so bestimmt die Option “Create Goup”, ob diese angelegt werden sollen oder nicht.

Unter "Except Groups" kann eine Liste von Gruppen angegeben werden, welche bei der Gruppenzuordnung exkludiert werden sollen, z.B.: Administrators, Power Users, Guests, Domain Users. Die Namen der "Except Groups" können mittels eines Wildcards ergänzt werden. (z.B.: tmp*, Domain*) Gruppen, die als “except groups“ eingetragen sind, werden weder einem Benutzer automatisch zugeordnet, noch wird ein Benutzer automatisch aus einer dieser Gruppen entfernt.

Falls sich die Gruppennamen auf der primären Benutzerverwaltung und dem Ressource-Server unterscheiden, so kann die Checkbox “Disable Equal Group Mapping” aktiviert werden, um die Gruppenzuordnung durch “gleiche Namen” zu deaktivieren. In diesem Fall können Gruppen der primären Benutzerverwaltung beliebigen lokalen Gruppen zugewiesen werden. (z.B.: SALES -> LocalSales.)

Ebenfalls gibt es die Möglichkeit den Gruppennamen mit einen Wildcard zu ergänzen. z.B.: group* -> group* ordnet alle Gruppen die mit group beginnen, gleichnamigen Gruppen zu (group1 -> group1, group1234 -> group1234, groupABCD -> groupABCD)

Wenn die Option “Create Goup” aktiviert ist, werden nicht-existente Gruppen auf dem lokalen System automatisch vom SignOn Agent erzeugt.

OU-Zuordnung

Das „OU Mapping“ bewirkt, dass die vom SignOn Proxy übermittelten Benutzer-Objekte im „Active Directory“ in einer anderen als der Standard – OU (cn=users) abgelegt werden können. Die Benutzer-Objekte können dabei nur in bereits vorhandene OU`s verschoben werden.

Wenn „Enable dynamic OU mapping“ aktiviert ist, wird der endgültige “UserDN” folgendermaßen zusammengesetzt:

UserDNPrefix + USERNAME + UserDNSuffix + „,“ + OUPrefix + OU + OUSuffix + „,“ + ADS-BaseDN

Wobei „OU“ durch die vom „SignOn Proxy“ gesendete OU ausgetauscht wird.

Falls „Enable dynamic OU mapping“ nicht aktiviert ist, wird die vom „SignOn Proxy“ übertragene OU anhand der „OU-Mapping“ Liste (Mapped Organisation Units) ersetzt. Somit setzt sich der „UserDN“ folgendermaßen zusammen:

UserDNPrefix + USERNAME + UserDNSuffix + „,“+ Mapped-OU + „,“ + ADS-BaseDN

Falls eine vom „SignOn Proxy“ übertragene OU nicht in der „OU-Mapping“ Liste vorkommt, wird die „Default Organisation Unit“ eingesetzt.

Sync Attributes

Mittels der „Sync Attributes“ kann man Attribute des LDAP-Benutzerobjektes, Attributen des ADS-Benutzerobjektes zuordnen. Die Attribute werden vom SignOn Proxy aus dem LDAP-Verzeichnis ausgelesen und an den SignOn Agent weitergeleitet. Am SignOn Agent wird nun die Zuordnung der konfigurierten „Sync Attribute Mappings“ vorgenommen.

Beispiel:

postalcode -> postalcode

ou -> department

street -> streetAddress

mail -> mail

„Sync Attributes“ können im „General-Tab“ des SignOn Agent unter ADS-Options aktiviert werden.

Achtung: „Sync Attributes“ müssen sowohl am SignOn Proxy als auch am SignOn Agent konfiguriert werden. (Siehe auch "Sync Attributes" unter "Konfiguration des SignOn Proxy" à LDAP)

Security Agent

In dem Feld "Threshold Time to Live" kann definiert werden, wieviele Tage nach der letzten Anmeldung ein Benutzerkonto deaktiviert werden soll. Die Option "Threshold User Time to Remove" definiert die Zeitspanne, nach welcher der deaktivierte Benutzer endgültig aus der Comtarsia Benutzer Datenbank gelöscht werden soll.

Bei einer neuerlichen Anmeldung des Benutzers wird sein Konto automatisch wieder aktiviert, vorausgesetzt sein Konto in der primären Benutzerverwaltung ist noch gültig.

Mit der Schaltfläche "List active Users"/"List disabled users" können die jeweiligen Benutzer in der Comtarsia Datenbank aufgelistet werden.

Service Control

Der „Startup type“ gibt an, ob die Comtarsia Dienste automatisch bei einem Systemstart gestartet werden sollen. Weiters können über diesen Dialog die Dienste auch manuell gestartet und gestoppt werden.

Der “Event Log” bietet eine Übersicht über alle Warnungs und Fehlermeldungen der Comtarsia Dienste.

Lizensierung

Ein Lizenzschlüssel zur Evaluierung der Produkte wird automatisch mitinstalliert. Wenn direkt von Comtarsia ein Lizenzschlüssel erworben wurde, so kann dieser unter "Load a new licensekey" installiert werden.

1.3.3 Konfiguration des SignOn Proxy

Domain Synchronisation

Im Feld "Domain Name" kann der Name einer Domäne bzw. eines Server angegeben werden, welche synchronisiert werden sollen.

Im Falle einer Domäne kann auch einer zweiter SignOn Agent innerhalb dieser Domäne als "Failover" oder "Loadbalancing" definiert werden. Im Falle von Failover wird der zweite nur dann kontaktiert, wenn der erste nicht verfügbar ist, bei Loadbalancing werden die SyncRequest gleichmässig auf beide Server aufgeteilt.

Als Domain-Type wird die Zielplattform der Domäne angegeben.

Durch die „SyncPolicy“ wird eine gruppenabhängige Synchronisation ermöglicht.

Unter „SyncPolicyAllow“ können Gruppen eingetragen werden, deren Mitglieder zu diesem Agenten synchronisiert werden dürfen.

Unter „SyncPolicyDeny“ können Gruppen eingetragen werden, deren Mitglieder nicht zu diesem Agent synchronisiert werden dürfen.

Die Gruppen-Namen werden durch einen Beistrich getrennt eingetragen und können durch einen Wildcard ergänzt werden. (z.B.: group*)

„SyncPolicyDeny“ überschreibt „SyncPolicyAllow“, das bedeutet, dass Benutzer welche Mitglied einer „SyncPolicyAllow-Gruppe“ als auch in einer „SyncPolicyDeny-Gruppe“ sind, nicht synchronisiert werden.

Die Felder „SyncPolicyAllow“ und „SyncPolicyDeny“ unterstützen eine Länge von maximal 1024 Zeichen.

Beispiel:

SyncPolicyAllow: group*

SyncPolicyDeny: group5

Benutzer1 Mitglied in „group10“ à wird synchronisiert

Benutzer2 Mitglied in „group2, group5“ à wird nicht synchronisiert

Benutzer3 Mitglied in „group“ à wird synchronisiert

Benutzer4 Mitglied in „group5“ à wird nicht synchronisiert

Mittels „Hold Domains“ können Domänen temporär deaktiviert werden.

In der Domänenliste werden die „Hold Domains“ mittels eines roten „Pause“ – Zeichen gekennzeichnet.

Security

Das Feld "Master Domain Name" spezifiziert den Namen der primären Authentifizierungsdomäne. Im Falle einer LDAP-Anmeldung kann hier der Wert „LDAP LOGON“ belassen werden, bei einer primären OS/2 Anmeldung der Clients muss hier der entsprechende Domainname eingetragen werden.

Clients, welche sich an eine andere als die hier spezifizierte Domäne anmelden, werden vom SignOn Proxy zurückgewiesen.

Unter „Authentication Server Type for Password Counter Check“ kann man angeben, dass das Password des Clients durch den Proxy geprüft wird, bevor der SyncRequest an die SignOn Agents weitergeleitet wird. Zusätzlich werden die vom Client gesendeten Gruppen verworfen und vom Proxy erneut ausgelesen.

Bei OS/2 muss hierfür "Server Name" und "IP Address" konfiguriert werden.

LDAP

Hier können diverse LDAP-Parameter für den „Logon Client“ und den „Web Sync Client“ konfiguriert werden. Diese Parameter müssen analog zu den Einstellungen des “Comtarsia Logon Client“ konfiguriert werden. (nähere Informationen finden sich im “Logon Client LDAP“ - Handbuch).

Der Parameter „OU Search List“ tritt nur in Verbindung mit dem “Web Sync Client” in Kraft.

Die OUSearchList ist eine Liste von OU’s, welche anstelle der OU vom Logon Panel, für den automatischen Zusammenbau der UserDN verwendet wird.

Der “SignOn Proxy“ versucht eine Authentifizierung mit allen OUs in der definierten Reihenfolge, bis eine Anmeldung erfolgreich ist.

Die einzelnen OU Strings werden mit „;“ getrennt angegeben, z.B: LDAPOUSearchList=“at;de;uk“

Sync Attributes

Mittels der „Sync Attributes“ kann man Attribute des LDAP-Benutzerobjektes, Attributen des ADS-Benutzerobjektes zuordnen. Unter „Sync Attributes“ kann man eine Komma (oder Semikolon)-separierte Liste von LDAP-Attributen angeben, welche zum SignOn Agent weitergeleitet werden sollen.

Beispiel:

postalcode,ou,street,title,mail

Achtung: „Sync Attributes“ müssen sowohl am SignOn Proxy als auch am SignOn Agent konfiguriert werden.

(Siehe auch "Sync Attributes" unter "Konfiguration des SignOn Agent")

LDAPSearchForUser

Registry Eintrag:

HKLM\SYSTEM\CurrentControlSet\Services\ComtSOP\LDAP\

Attribute: LDAPSearchForUser

Type: REG_DWORD

Wenn der Wert dieses Eintrages auf „1“ gesetzt ist, sucht der SignOn Proxy nach dem Benutzerobjekt (LDAPUserDNPrefix + USERNAME) unterhalb der „LDAPBaseDN“.

Der LDAP-Directory-Server muss Anonynmous –Such/Lesezugriff erlauben.

AttributeBasedGroups

Registry Eintrag:

HKLM\SYSTEM\CurrentControlSet\Services\ComtSOP\LDAP\

Attribute: AttributeBasedGroups

Type: REG_MULTI_SZ

Dieser Eintrag erlaubt das dynamische Zufügen von Gruppen zum aktuellen Benutzer anhand von LDAP Attributen.

Beispiel:
AttributeBasedGroups: physicalDeliveryOfficeName=ATQA%s01_G

Bei der Anmeldung des Benutzers versucht der SignOn Proxy, das LDAP-Attribut „physicalDeliveryOfficeName“ aus dem Benutzerobjekt auszulesen, und fügt anschließend dem Benutzer eine dynamische Gruppe „ATQA%s01_G“ hinzu, wobei „%s“ durch den Inhalt des Attributes „physicalDeliveryOfficeName“ ersetzt wird.

Es werden auch multivalue LDAP-Attribute mit bis zu 10 Einträgen unterstützt.

Ebenso gibt es die Möglichkeit, das erste Zeichen des LDAP-Attributes abschneiden zu lassen, indem man ein „>“ hinter das „=“ setzt.

Beispiel:

AttributeBasedGroup: physicalDeliveryOfficeName=>ATQA%s01_G

AttributeBasedOU

Registry Eintrag:

HKLM\SYSTEM\CurrentControlSet\Services\ComtSOP\LDAP\

Attribute: AttributeBasedOU

Type: REG_MULTI_SZ

Anhand dieses Registry –Eintrages kann man ein Attribut des LDAP-Benutzerobjektes zur Verwendung als OU angeben. Diese OU wird dann an die Agent-Systeme weitergeleitet und wird dort (je nach Konfiguration) weiterverwendet.

Beispiel:

AttributeBasedOU: departmentNumber=DEP_%s

Der linke Teil des Eintrags gibt an welches LDAP-Attribut verwendet werden soll, der rechte Teil gibt an wie das Attribut ergänzt werden soll. „%s“ wird durch den Inhalt des Attributes des LDAP-Benutzerobjektes ausgetauscht.

Ebenso gibt es die Möglichkeit, das erste Zeichen des LDAP-Attributes abschneiden zu lassen, indem man ein „>“ hinter das „=“ setzt.

Beispiel:

AttributeBasedGroup: physicalDeliveryOfficeName=>ATQA%s01_G

Service Control

Der „Startup type“ gibt an, ob die Comtarsia Dienste automatisch bei einen Systemstart gestartet werden sollen. Weiters können über diesen Dialog die Dienste auch manuell gestartet und gestoppt werden.

Lizensierung

Ein Lizenzschlüssel zur Evaluierung der Produkte wird automatisch mitinstalliert. Falls Sie direkt von Comtarsia einen Lizenzschlüssel erworben haben, so kann dieser unter "Load a new licensekey" installiert werden.

Hiermit ist die Installation des Comtarsia SignOn Agent sowie des SignOn Proxy abgeschlossen.