jjennings
I'm new here

Personalisation - Example for not authorized users

Hallo,

We are trying to set up personalisation for our client.

We have the Kerberos module configured. A user can authenticate and be shown protected content.

We want anonymous users outside the Kerberos domain/network to also view the same pages but be shown rather unauthorized content. These users will not be authenticated in any way.

When we go the page we created as an anonymous user from outside the domain (not through Kerberos), we receive a white page and and a 401 unauthorized header instead of the unauthorized content as expected.

How do we do this correctly? Can some please provide an example code that works?

Attached is our JSP page and the personalisation configration.

Your assistance would be greatly appreciated since we are on a deadline and this is not working as expected! You can also answer in German!

Thanks,

Josh Jennings

......................................................................

Josh Jennings

Technical Project Manager

re-lounge GmbH

0 Kudos
4 Replies
marro
Crownpeak employee

Hello,

can you provide some logging messages (debug level) of the personalisation module during accessing the page with an anonymous user?

Which browser did you use for your tests?

Kind regards

Donato

0 Kudos

Hi Donato,

There is very little logging here since the server sends directly a 401 Header. So in the Browser Inspector it just shows a GET request with 401 (Unauthorized). No other content is delivered from the server.

This is the same for Firefox, Safari, Chrome etc.

There is no JSP or Tomcat error logged which makes me believe that the personlization module is sending out an unautherized reponse.

I would think there would be a simple example that would show how to set up this scenario.

Will this scenario even work?

Josh

0 Kudos
marro
Crownpeak employee

Hi Josh,

There is no JSP or Tomcat error logged which makes me believe that the personlization module is sending out an unautherized reponse.

well, that's right, cause this is how the personalization module works. It sends an unauthorized response to the browser, so the browser knows that it has to authenticate against the module. But if the browser doesn't know how to handle kerberos authentication, it displays a white page since there is no more interaction following the first request. We observed this behaviour e.g. with the Internet Explorer and disabled "Integrated Windows Authentication".

Can you try to set up the log4j logging for the personalization module? The module should write some log messages before sending the 401 unauthorized response.

0 Kudos

We have received help regarding this.

It has to do with corrected browser settings (if the browser supports this). Once we set the IE settings correct, we could see the "unathorized" content.

This was sent to us from eSpirit and is from the Admindoc Cap. "4.3.4.5 Kerberos-Ticket (Integrierte Windows-Anmeldung) (ab V4.2R2)"

==================================================
Konfiguration der Clients
-------------------------
Auf Client-Seite sind abhängig vom verwendeten Web-Browser folgende Konfigurationen notwendig (falls passwortlose Kerberos-basierte Anmeldung bereits auf den Arbeitsplatzrechnern für andere Webserver innerhalb des Unternehmens-Netzesverwendet wird, ist keine Konfigurationsänderung notwendig)
Internet Explorer (Windows):
In den Internetoptionen bei "vertrauenswürdige Sites" folgende Einträge einfügen: https://*.mydomain.net bzw.http://*.mydomain.net, falls nur HTTP verwendet wird.Dann bei den Internetoptionen unter "Erweitert" im Bereich Sicherheit "Integrierte Windows-Authentifizierung" aktivieren. Folgende Konfiguration ist eventuell zusätzlich notwendig: In den Internetoptionen bei Sicherheit in der Zone "Vertrauenswürdige Sites" "Stufe anpassen" wählen und im Bereich Benutzerauthentifizierung "Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort" aktivieren.
Firefox (Windows, Mac OS, GNU/Linux):
Als URL in der Adresszeile about:config eingeben und bei dem Parameter network.negotiate-auth.trusted-uris den Domain-Namen des FirstSpirit-Servers mit führendem Punkt eintragen. Es können mehrere Domains durch Komma getrennt eingetragen werden. Beispiel: .mydomain.net
Safari (Mac OS):
Mac OS bietet bereits standardmäßig eine vollständige Kerberos-Integration, sofern das verwendete Benutzerkonto ein Netzwerk-basiertes Benutzerkonto ist und der Arbeitsplatzrechner an der Active Directory Domain bzw. Kerberos-Realm angemeldet ist. Es ist keine Konfigurationsänderung notwendig. Bei lokalen Benutzerkonten erfolgt beim ersten Zugriff auf die FirstSpirit-Startseite eine Abfrage des eigenen Kerberos-Benutzernames (benutzername@MYDOMAIN.NET) Principals inklusive Passwort.
Konqueror (GNU/Linux):
Sofern Kerberos im Betriebssystem des Arbeitsplatzrechners aktiviert wurde, also ein Kerberos-Ticket automatisch über /etc/pam.d/common-auth beim Anmelden und Entsperren des Bildschirms angefordert wird, ist keine weitere Konfiguration notwendig.
==================================================

We had looked at the logs and everything appeared normal. In the end - it was not a problem with the module, but rather the client.