...
- používanie tých istých hesiel do D2000 ako do Windows domény (NTLM autentifikácia),
- používanie tých istých mien a hesiel do viacerých systémov D2000, pre ich zmenu stačí zmeniť heslo na jednom mieste - heslo do Windows (NTLM autentifikácia),
- automatické prihlásenie sa do D2000 bez zadávania mena a hesla iba na základe toho, že užívateľ je prihlásený do Windows domény (Kerberos autentifikácia),
- zabezpečiť prihlásenie užívateľa do D2000 hardvérovo (prihlasovací USB token, osobná čipová karta so šifrovacím a identifikačným kľúčom PKI) tak, že sa takéto zabezpečenie použije na prihlasovanie sa užívateľa do Windows a následne sa použije Kerberos autentifikácia na prihlásenie do D2000,
- zakázanie prihlásenia užívateľa do D2000 nástrojmi pre správu užívateľov v doméne Windows,
- nastavenie parametrov, ktoré musí spĺňať heslo do D2000, nástrojmi pre správu užívateľov v doméne Windows.
Poznámka pre platformy Linux a Raspberry PI: od verzie D2000 12.2.65 (patche z 27.5.2020 a novšie) je Kerberos autentifikácia dostupná aj na platformách Linux x64 a Raspberry PI. Na sfunkčnenie je nutné vykonať nasledovné kroky:
- zaradenie Linux/Raspberry PI servera do Windows domény
(príkazom realm join meno_domény, napr realm join IPSTEST.SK) - umožnenie prístupu D2000 Serveru (kernel) k súboru /etc/krb5.keytab. Jednou možnosťou je nakonfigurovať spúšťanie D2000 Servera pod užívateľom root, inou - menej dramatickou - je nakonfigurovanie prístupových práv pre skupinu, pod ktorou je spustený D2000 Server. Napríklad ak je použitá skupina d2users, tak treba spustiť:
chgrp d2users /etc/krb5.keytab
chmod 640 /etc/krb5.keytab
Na platforme Linux bola otestovaná autentifkácia v rámci jednej domény (IPSTEST.SK) aj medzi dvoma doménami (hi.exe spustené pod užívateľom v doméne IPESOFT.SK, D2000 server na Linuxovom serveri v doméne IPSTEST.SK. V oboch prípadoch bola hodnota parametra AuthSecPrinc nastavená na SRVAPP$@IPSTEST.SK, kde SRVAPP je názov linuxového počítača zaradeného vo Windows doméne.
Poznámka 1: ak je D2000 Server spustený so štartovacím parametrom /E+RTM.ADGROUP_MEMBERSHIP_QUERY (prípadne je parameter RTM.ADGROUP_MEMBERSHIP_QUERY aktivovaný za behu v D2000 System Console), tak v rámci Kerberos/NTLM autentifikácie je zisťovaná príslušnosti užívateľa do skupín v Active Directory (AD). Tieto informácie sú následne posielané do procesu D2000 Event Handle, kde je možné na základe príslušnosti do AD skupín povoliť/zakázať prihlásenie uživateľa a prípadne nastaviť mu príslušné oprávnenia do aplikácie.
Poznámka 2: Kerberos/NTLM autentifikáciu a zisťovanie príslušnosti užívateľa do skupín v AD štandardne vykonáva D2000 Server (Kernel). Je možné ju presunúť na D2000 Event Handler proces (napr. zo sieťových dôvodov). Takýto proces musí byť spustený s parametrom "–ADAUTHENTICATOR". Ak je spustených viacero takýchto procesov, autentifikáciu vykonáva posledný spustený proces.
| Kotva | ||||
|---|---|---|---|---|
|
...
| Názov parametra | Popis | ||||||
|---|---|---|---|---|---|---|---|
| Prednastavená metóda autentifikácie, ktorú vyžaduje proces D2000 Server od všetkých prihlasujúcich sa užívateľov. Možné hodnoty parametra sú: | ||||||
| Security principal autentifikácie. Parameter je vyžadovaný v Kerberos a SPNEGO autentifikácii. Security principal môže byť názov účtu, pod ktorým je spustený proces D2000 Server. Štandardne (kernel.exe je spustený ako servis pod účtom Local System) je Security principal účet počítača v doméne, ktorého názov je rovnaký ako názov počítača a na konci má znak dolár ($). Pokiaľ je proces kernel.exe spustený ručne (z príkazového riadku), je Security principal účet príslušného užívateľa v doméne. Príklad: Doména je MyCompany, server je SrvApp1, proces kernel.exe je spustený ako servis pod účtom Local System. Parameter AuthSecPrinc môže byť srvapp1$ alebo srvapp1$@MyCompany . Pokiaľ sa chcú autentifikovať aj užívatelia z inej domény OtherCompany, musí byť AuthSecPrinc=srvapp1$@MyCompany a navyše doména MyCompany musí dôverovať doméne OtherCompany. Poznámka: autentifikácia medzi doménami bola vyskúšané na serveri srvapp114v v doméne ipstest.sk, AuthSecPrinc=srvapp114v$@ipstest.sk. HI bolo spustené na počítači v doméne IPESOFT, doména ipstest.sk dôverovala doméne IPESOFT. Príklad: Doména je MyCompany, proces kernel.exe je spustený z príkazového riadka užívateľom D2User. Parameter AuthSecPrinc môže byť d2user alebo d2user@MyCompany. Poznámka: Pomocou nástrojov na správu Active Directory je možné definovať aj Security principal, ktorý nie je závislý od mena užívateľa, pod ktorým je proces kernel.exe spustený. Viac informácií viď dokumentácia k Active Directory a k utilite ktpass.exe na webe Microsoftu. |
...
Pri autentifikácii NTLM/Kerberos sa užívateľské meno ani heslo neprenáša medzi počítačom s procesom D2000 Server a počítačom, kde beží užívateľský proces (HI, Cnf, GrEditor atď). Miesto toho sa po sieti prenášajú iba tzv. tokeny, ktoré si vymieňajú autentifikačné subsystémy Windows NTLM/Kerberos medzi týmito počítačmi a radičom domény. Preto autentifikácia NTLM/Kerberos nebude fungovať, pokiaľ je doménový radič (domain controller) nedostupný (porucha/vypnutie doménového radiča, prístup klienta spoza firewallu atď).
Z týchto dôvodov, ako aj z dôvodov konfiguračnej flexibility, môže klientsky proces (HI, Cnf, GrEditor atď.) použiť inú metódu autentifikácie, ako je štandardná nakonfigurovaná parametrom AuthMethod za predpokladov, že:
- pre zvolenú metódu sú správne nakonfigurované všetky konfiguračné parametre (t.j. Doména pre NTLM/Kerberos a AuthSecPrinc pre Kerberos),
- užívateľ má povolenú zvolenú autentifikačnú metódu vo svojich Metódach autentifikácie.
...
Na debugovanie autentifikácie slúži kategória Debug informácií DBG.Authentication, ktorá sa dá zapnúť pri štarte procesu štartovacím parametrom /E+DBG.Authentication alebo počas behu procesu pomocou D2000 System Console.
Po zapnutí debugovania bude log procesu D2000 Server alebo log klientskeho procesu (HI, Cnf, GrEditor atď.) obsahovať podrobné výpisy o jednotlivých fázach autentifikácie (pre NTLM a Kerberos autentifikáciu), ktoré sú použiteľné pre účely technickej podpory.
...