Code source wiki de Single sign-on NTLM

Modifié par jhurst le 2022/04/28 16:42
Afficher les derniers auteurs
1 {{ddtoc/}}
2
3 ----
4
5 Ce document décrit comment connecter la valve Waffle dans DigDash Enterprise pour activer la Sécurité Intégrée Windows (NTLM...).
6
7 Cet add-on est situé dans le dossier **<DDE install>/add-ons/singlesignon/Waffle**.
8
9 La version actuelle de Waffle est 1.8.1.
10
11 Ce document décrit chaque dossiers et fichiers à modifier pour activer cette valve.
12
13 = Configuration de Tomcat =
14
15 (((
16 == apache-tomcat / lib ==
17 )))
18
19 __Désinstallation de la version précédente de Waffle :__
20
21 Dans le cas ou vous mettez à jour DigDash, il est possible qu’une ancienne version de Waffle ait été déployée sur votre Tomcat. Vous devez d’abord supprimer cette version de **<DDE install>/apache-tomcat/lib **avant d’installer la nouvelle.
22
23 Veuillez vous référer au guide de déploiement Waffle de votre version précédente de DigDash Enterprise pour connaître la liste des fichiers de la librairie Waffle à supprimer..
24
25 __Tomcat 9 **(à partir de la version 2020R2 patch 20210105)**__
26
27 Ajoutez les librairies JAR Waffle du dossier **<DDE install>/add-ons/singlesignon/Waffle/Tomcat9** dans le dossier **<DDE install>/apache-tomcat/lib **:
28
29 * caffeine-2.8.4.jar
30 * guava-19.0.jar
31 * jna-5.6.0.jar
32 * jna-platform-5.6.0.jar
33 * slf4j-api-1.7.21.jar
34 * slf4j-log4j12-1.7.21.jar
35 * log4j-1.2.15.jar
36 * waffle-jna-2.3.0.jar
37 * waffle-tomcat9-2.3.0.jar
38 * waffle_digdash_extension_tomcat9.jar
39 * log4j.properties
40
41 __Tomcat 8__
42
43 Ajoutez les librairies JAR Waffle du dossier **<DDE install>/add-ons/singlesignon/Waffle/Tomcat8** dans le dossier **<DDE install>/apache-tomcat/lib **:
44
45 * guava-19.0.jar
46 * jna-4.2.1.jar
47 * jna-platform-4.2.1.jar
48 * slf4j-api-1.7.21.jar
49 * slf4j-log4j12-1.7.21.jar
50 * log4j-1.2.15.jar
51 * waffle-jna-1.8.1.jar
52 * waffle-tomcat8-1.8.1.jar
53 * waffle_digdash_extension_tomcat8.jar
54 * log4j.properties
55
56 __Tomcat 7__
57
58 Ajoutez les librairies JAR Waffle du dossier **<DDE install>/add-ons/singlesignon/Waffle/Tomcat7** dans le dossier **<DDE install>/apache-tomcat/lib **:
59
60 * guava-19.0.jar
61 * jna-4.2.1.jar
62 * jna-platform-4.2.1.jar
63 * slf4j-api-1.7.21.jar
64 * slf4j-log4j12-1.7.21.jar
65 * log4j-1.2.15.jar
66 * waffle-jna-1.8.1.jar
67 * waffle-tomcat7-1.8.1.jar
68 * waffle_digdash_extension_tomcat7.jar
69 * log4j.properties
70
71 == apache-tomcat / conf / context.xml ==
72
73 Décommentez ou ajoutez le XML suivant pour la valve de sécurité :
74
75 {{code language="XML" cssClass="notranslate"}}
76 <Valve className="waffle.apache.SharedNegotiateAuthenticator"
77 principalFormat="fqn"
78 roleFormat="both"
79 sharedPasswd="SecretPwdToChange"
80 allowAddr="localhost,127.0.0.*">
81 </Valve>
82 {{/code}}
83
84 (% class="box" %)
85 (((
86 Pour décommenter, supprimez les séquences **<!~-~-** et **~-~->** entourant le code xml.
87 )))
88
89 Il est nécessaire de changer le mot de passe partagé (**sharedPasswd**). Ce mot de passe devra être identique à celui spécifié lors de la configuration du Tableau de bord et du Web Studio.
90
91 Vous pouvez aussi ajouter les adresses des hôtes distants autorisés (**allowAddr**) pour permettre à d'autres applications (digdash_dashboard) de se connecter au serveur DigDash Enterprise. Dans l'attribut **allowAddr**, vous devriez ajouter au minimum l'adresse IP de votre serveur.
92
93 (% id="Hapache-tomcat2Fconf2Fweb.xml" %)
94 == apache-tomcat / conf / web.xml ==
95
96 Décommentez ou ajoutez le XML suivant pour la contrainte de sécurité :
97
98 {{code language="XML" cssClass="notranslate"}}
99 <security-role>
100 <role-name>Tout le monde</role-name>
101 </security-role>
102 <security-constraint>
103 <display-name>Waffle Security Constraint</display-name>
104 <web-resource-collection>
105 <web-resource-name>Protected Area</web-resource-name>
106 <url-pattern>/*</url-pattern>
107 </web-resource-collection>
108 <auth-constraint>
109 <role-name>Tout le monde</role-name>
110 </auth-constraint>
111 </security-constraint>
112 <security-constraint>
113 <display-name>vjdbc Security Constraint</display-name>
114 <web-resource-collection>
115 <web-resource-name>UnProtected Area</web-resource-name>
116 <url-pattern>/vjdbc/*</url-pattern>
117 </web-resource-collection>
118 </security-constraint>
119
120 {{/code}}
121
122 (% class="box warningmessage" %)
123 (((
124 Le nom du "security role" (role-name) DOIT correspondre au rôle réel que vous avez dans votre AD (localisé). Exemple : BUILTIN\Utilisateurs
125 )))
126
127 Si vous n’êtes pas sûr du nom du rôle vous pouvez activer les informations de debug pour Waffle en utilisant le fichier log4j.properties fournit avec les jar.
128
129 Il suffit de le placer dans le répertoire **<DDE install>/apache-tomcat/lib**.
130
131 = Configuration des applications DigDash =
132
133 (% class="wikigeneratedid" id="Hdigdash.properties" %)
134 Depuis la version 2021 R1, toutes les applications de DigDash Enterprise se configurent via un seul fichier : **digdash.properties**
135
136 L'utilisation de ce fichier est décrite ici : [[Externalisation des paramètres dans un fichier //properties//>>doc:Digdash.deployment.configuration.advanced_system_guide.WebHome||anchor="externalisation"]]
137
138 Dans tout ce qui suit les noms par défaut des applications seront utilisés. Si vous avez renommé certains fichiers war vous devrez modifier le fichier **digdash.properties** en conséquence.
139
140 == Serveur (ddenterpriseapi.war) ==
141
142 Cherchez la définition du paramètre **authMethod** et changez sa valeur en **NTUser** ou **NTUserOrLDAP**:
143
144 {{code language="properties" cssClass="notranslate"}}
145 ddenterpriseapi.authMethod=NTUser
146 {{/code}}
147
148 //Note ~://
149
150 Le mode «** NTUserOrLDAP **» permet une authentification sur le serveur DigDash via la sécurité Windows Intégrée, avec une option pour s’authentifier via le LDAP DigDash en cas d’échec.
151
152 Par exemple, un utilisateur du domaine NT pourra automatiquement passer la valve Waffle avec son authentifiant Windows, mais, s’il n’existe pas dans le LDAP DigDash, il se verra proposer un écran de login pour s’authentifier avec un login DigDash.
153
154 Dans ce mode, un paramètre supplémentaire «** loginForm **» de certaines URLs permet d’afficher de toujours afficher l’écran de login DigDash. Ainsi, l’authentifiant Windows ne sert qu’à passer la valve Waffle. Un cas typique d’usage est de permettre à un utilisateur Windows de se connecter en tant qu’ « admin » dans des pages de configuration DigDash.
155
156 == Tableau de bord (digdash_dashboard.war) ==
157
158 Cherchez la définition du paramètre **digdash_dashboard.sharedPasswd**.
159 Décommentez la ligne en supprimant le caractère **#** en début de ligne.
160
161 Changez la valeur du mot de passe (toutes les applications utilisant ce même paramètre devront utiliser la même valeur).
162
163 {{code language="properties" cssClass="notranslate"}}
164 digdash_dashboard.sharedPasswd=SecretPwdToChange
165 {{/code}}
166
167 (% class="box warningmessage" %)
168 (((
169 Le mot de passe spécifié doit être identique à celui que vous avez mis dans le fichier **<DDE install>/apache-tomcat/conf/context.xml**.
170 )))
171
172
173 (% class="wikigeneratedid" id="HParamE8tresrecommandE9spourleloginautomatiquedutableaudebord" %)
174 __Paramètres recommandés pour le login automatique du tableau de bord__ :
175
176 Il est recommandé de configurer les paramètres suivants lors du déploiement en mode Sécurité Windows Intégrée (Waffle).
177
178 Spécifiez (et forcez) le domaine DigDash Enterprise :
179
180 {{code language="properties" cssClass="notranslate"}}
181 digdash_dashboard.DOMAIN=ddenterpriseapi
182 digdash_dashboard.FORCEDOMAIN=true
183
184 {{/code}}
185
186 Spécifiez (et forcez) l’URL du serveur du domain DigDash Enterprise.
187 Utilisez l’adresse //localhost// si l’application web ddenterpriseapi est installée sur le même Tomcat que l’application web digdash_dashboard.
188 Adaptez le port si nécessaire :
189
190 {{code language="properties" cssClass="notranslate"}}
191 digdash_dashboard.SERVERURL=http://localhost:8080
192 digdash_dashboard.FORCESERVERURL=true
193 {{/code}}
194
195 Spécifier une URL de déconnexion afin que l’utilisateur puisse se déconnecter de DigDash Enterprise et, par exemple, revenir à une page d’Intranet :
196
197 {{code language="properties" cssClass="notranslate"}}
198 digdash_dashboard.urlLogout=/adminconsole
199 {{/code}}
200
201
202 (% class="box warningmessage" %)
203 (((
204 Par défaut la déconnexion du tableau de bord retourne à la page de login de ce dernier. Cette page n’existe pas dans le contexte du SSO.
205 Il est important de spécifier une URL de retour en cas de déconnexion.
206 )))
207
208 Voir la documentation [[Réglages avancés des paramètres système>>doc:Digdash.deployment.configuration.advanced_system_guide.WebHome]] pour plus de détails sur ces paramètres.
209
210 == Web Studio (studio.war) ==
211
212 (% id="cke_bm_653S" style="display:none" %)
213
214 (% id="cke_bm_389S" style="display:none" %) (%%)Cherchez la définition du paramètre **authMethod.**
215 Décommentez la ligne en supprimant le caractère # en début de ligne.
216
217 {{code language="properties" cssClass="notranslate"}}
218 studio.authMethod=NTUserOrLDAP
219 {{/code}}
220
221 Cherchez la définition du paramètre **studio.sharedPasswd**.
222 Décommentez la ligne en supprimant le caractère # en début de ligne.
223 Changez la valeur du mot de passe (toutes les applications utilisant ce même paramètre devront utiliser la même valeur).
224
225 {{code language="properties" cssClass="notranslate"}}
226 studio.sharedPasswd=SecretPwdToChange
227 {{/code}}
228
229 (% class="box warningmessage" %)
230 (((
231 Le mot de passe spécifié doit être identique à celui que vous avez mis dans le fichier **<DDE install>/apache-tomcat/conf/context.xml**.
232 )))
233
234
235 __Paramètres recommandés pour le login automatique du Web Studio__ :
236
237 Il est recommandé de configurer les paramètres suivants lors du déploiement en mode Sécurité Windows Intégrée (Waffle).
238
239 Spécifiez (et forcez) le domaine DigDash Enterprise :
240
241 {{code language="properties" cssClass="notranslate"}}
242 studio.FORCEDOMAIN=true
243 studio.DOMAIN=ddenterpriseapi
244 {{/code}}
245
246 Spécifiez (et forcez) l’URL du serveur du domain DigDash Enterprise.
247 Utilisez l’adresse **//localhost//** si l’application web **ddenterpriseapi** est installée sur le même Tomcat que l’application web **studio**.
248 Adaptez le port si nécessaire :
249
250 {{code language="properties" cssClass="notranslate"}}
251 studio.FORCESERVERURL=true
252 studio.SERVERURL=http://localhost:8080
253 {{/code}}
254
255 Spécifiez une URL de déconnexion afin que l’utilisateur puisse se déconnecter de DigDash Enterprise et, par exemple, revenir à une page d’Intranet :
256
257 {{code language="properties" cssClass="notranslate"}}
258 studio.urlLogout=/adminconsole
259 {{/code}}
260
261 Par défaut la déconnexion du Web Studio retourne à la page de login de ce dernier. Cette page n’existe pas dans le contexte du SSO.
262 Il est important de spécifier une URL de retour en cas de déconnexion.
263
264 == Desktop Studio (adminconsole.war) ==
265
266 {{warning}}
267 On privilégiera l'utilisation du Studio Web à partir de la version 2020R2.
268 {{/warning}}
269
270 (% id="cke_bm_492S" style="display:none" %) (%%)Cherchez la définition du paramètre **authMethod.**
271 Décommentez la ligne en supprimant le caractère # en début de ligne.
272
273 {{code language="properties" cssClass="notranslate"}}
274 adminconsole.authMethod=NTUserOrLDAP
275 {{/code}}
276
277 Cherchez la définition du paramètre **studio.sharedPasswd**.
278 Décommentez la ligne en supprimant le caractère **# **en début de ligne.
279 Changez la valeur du mot de passe (toutes les applications utilisant ce même paramètre devront utiliser la même valeur).
280
281 {{code language="properties" cssClass="notranslate"}}
282 adminconsole.sharedPasswd=SecretPwdToChange
283 {{/code}}
284
285 (% class="box warningmessage" %)
286 (((
287 Le mot de passe spécifié doit être identique à celui que vous avez mis dans le fichier **<DDE install>/apache-tomcat/conf/context.xml**.
288 )))
289
290 (% id="cke_bm_619S" style="display:none" %)__ __(%%)__Paramètres recommandés pour le login automatique du Web Studio__ :
291
292 Il est recommandé de configurer les paramètres suivants lors du déploiement en mode Sécurité Windows Intégrée (Waffle).
293
294 Spécifiez (et forcez) le domaine DigDash Enterprise :
295
296 {{code language="properties" cssClass="notranslate"}}
297 adminconsole.FORCEDOMAIN=true
298 adminconsole.DOMAIN=ddenterpriseapi
299 {{/code}}
300
301 Spécifiez (et forcez) l’URL du serveur DigDash Enterprise :
302
303 {{code language="properties" cssClass="notranslate"}}
304 adminconsole.FORCESERVERURL=true
305 adminconsole.SERVERURL=http://url_serveur
306 {{/code}}
307
308