marcfr
Elite Observer

FS SSO Problem

Hallo zusammen,

folgendes Szenario:

Wir haben einen FS-Server (= Server A) und einen Live-Server (Server B).

In einem Projekt haben wir FS-Personalisation eingebaut und das Ganze wird nach der Generierung per Rsync auf den Live-Server deployt.

Auf dem Live-Server muss sich der Benutzer zunächst einloggen, um Zugriff auf das generierte Projekt zu bekommen. Dabei dachten wir an die Möglichkeit FS SSO zu verwenden.

Inhalt der firstpersonalisation.xml:

<FIRSTPERSONALISATION>

          <LOGIN_PACKAGES>

                    <LOGIN_PACKAGE name="FIRSTPersonalisation_Profiling Base" priority="0">

                              <LOGIN_MODULE class="de.espirit.firstspirit.opt.personalisation.modules.login.FSLoginModule" name="FS SSO">

                              </LOGIN_MODULE>

                    </LOGIN_PACKAGE>

          </LOGIN_PACKAGES>

          <GLOBAL_CONFIG_PARAMETERS>

                    <PARAMETER_ENTRY name="useDummyUser" value="false" />

                    <PARAMETER_ENTRY name="activateEveryoneGroup" value="false" />

                    <PARAMETER_ENTRY name="everyoneGroupString" value="" />

                    <PARAMETER_ENTRY name="ssoCookieName" value="" />

                    <PARAMETER_ENTRY name="ssoCookieLifetime" value="" />

                    <PARAMETER_ENTRY name="ssoCookieDomain" value="" />

                    <PARAMETER_ENTRY name="log4JFallbackConfigFile" value="" />

          </GLOBAL_CONFIG_PARAMETERS>

</FIRSTPERSONALISATION>

Die FS-Seiten beinhalten folgendes:

<fsp:authorize force="false" />

<fsp:loginRequired loginUrl="$CMS_VALUE(#global.urlCreator.getUrlPrefix())$$CMS_VALUE(#global.language.abbreviation.toString().toLowerCase())$/login.jsp" />

Ruft der Benutzer nun eine Seite auf dem Live-Server auf, so wird er immer auf die Login-Seite weitergeleitet, da er offenbar nicht authentifiziert werden kann per SSO. Mit korrekt funktionierendem SSO dürfte er jedoch eigentlich nicht auf die Login-Seite weitergeleitet werden, wenn ich das richtig verstanden habe. Woran könnte das liegen?

Viele Grüße

Marc

0 Kudos
2 Replies
marcfr
Elite Observer

Die fs-jaas.conf:

/*

* JAAS Login Configurations.

*   (for app-to-config mappings see fs-server.conf, JAAS.*)

*/

/* access api authentication (e.g., for remote projects) */

system {

          de.espirit.firstspirit.server.authentication.FSUserLoginModule sufficient hash="true";

          de.espirit.firstspirit.server.authentication.FSTicketLoginModule sufficient;

};

/* java-/admin-client authentication without sso */

plain {

          // de.espirit.firstspirit.server.authentication.LdapLoginModule optional section="LDAP";

          de.espirit.firstspirit.server.authentication.FSUserLoginModule optional;

};

/* java-/admin-client authentication sso */

sso {

          de.espirit.firstspirit.server.authentication.FSTicketLoginModule sufficient;

          // de.espirit.firstspirit.server.authentication.WindowsLoginModule optional;

          // de.espirit.firstspirit.server.authentication.LdapLoginModule optional section="LDAP";

          de.espirit.firstspirit.server.authentication.FSUserLoginModule optional;

};

/* web authentication (for preview, webedit, webmonitor) without sso */

webplain {

          // de.espirit.firstspirit.server.authentication.LdapLoginModule optional section="LDAP";

          de.espirit.firstspirit.server.authentication.FSUserLoginModule optional;

};

/* web authentication (for preview, webedit, webmonitor) with sso */

websso {

          de.espirit.firstspirit.server.authentication.FSTicketLoginModule sufficient;

          // de.espirit.firstspirit.server.authentication.NTLMLoginModule optional domains=":my-netbois-domain;:my-active-directory-domain";

          // de.espirit.firstspirit.server.authentication.WindowsLoginModule optional;

          // de.espirit.firstspirit.server.authentication.LdapLoginModule optional section="LDAP";

          de.espirit.firstspirit.server.authentication.FSUserLoginModule optional;

};

0 Kudos
boesebeck
Crownpeak employee

Hallo,

verstehe ich das richtig dass sie das SSO des FirstSpirit Server für ein Livesystem benutzen möchten? Dies ist so nicht geplannt, da wir davon ausgehen das beide System getrennt sind

Dazu sind bei Ihnen alle Global Parameter leer..

Marc Friedemann wrote:

          <GLOBAL_CONFIG_PARAMETERS>

                    <PARAMETER_ENTRY name="useDummyUser" value="false" />

                    <PARAMETER_ENTRY name="activateEveryoneGroup" value="false" />

                    <PARAMETER_ENTRY name="everyoneGroupString" value="" />

                    <PARAMETER_ENTRY name="ssoCookieName" value="" />

                    <PARAMETER_ENTRY name="ssoCookieLifetime" value="" />

                    <PARAMETER_ENTRY name="ssoCookieDomain" value="" />

                    <PARAMETER_ENTRY name="log4JFallbackConfigFile" value="" />

          </GLOBAL_CONFIG_PARAMETERS>

0 Kudos