Plugin Single Sign On Version 1.2 Instrukcja instalacji Niniejszy dokument opisuje wymagania oraz sposób instalacji i konfiguracji komponentu Single Sign On dla systemu BMC Remedy AR System Partner Internet Sp. z o.o. 2009-12-19
SPIS TREŚCI 1 WSTĘP... 3 2 OPIS ROZWIĄZANIA... 4 3 ZASTOSOWANIE... 5 4 ZGODNOŚD Z INNYMI PRODUKTAMI... 6 5 JAK PLUGIN SSO DZIAŁA... 7 6 INSTALACJA I KONFIGURACJA... 10 6.1 Windows Authentication... 10 6.2 ClearTrust / Sitemider... 10 6.3 Instalacja... 10 6.4 Część I instalacji na środowisku serwerowym (Platforma ARS)... 10 6.5 Część II instalacji na środowisku po stronie serwera Mid-Tier... 18 6.6 Część III instalacja usługi SSO Authentication Service... 23 6.7 Część IV instalacja plugin-u SSO Authentication dla BMC Remedy User Tool... 29 7 TROUBLESHOOTING... 34 7.1 SSO AREA plugin... 34 7.2 AREA LDAP plugin... 34 7.3 Mid-Tier SSO Plugin... 34 7.4 SSO Authentication Service... 35 7.5 Co dalej... 35 8 MOŻLIWE BŁĘDY... 36 8.1 Mid-Tier nie może znaleźd pliku mt-sso.jar... 36 8.2 Mid-Tier nie może znaleźd pliku jespa-1.0.10.jar... 36 8.3 Mid-Tier nie może znaleźd pliku z licencją... 36 8.4 Mid-Tier nie może znaleźd pliku konfiguracyjnego mt-sso.config... 36 8.5 Plugin SSO nie może znaleźd kontrolera domeny... 37 8.6 Plugin SSO nie może zalogowad się do kontrolera domeny... 37 8.7 Usługa SSO Authentication Service nie uruchamia się... 37 2
1 WSTĘP Każda firma, czy tez przedsiębiorstwo boryka się z problemem błędnie wpisanych haseł. Pracownicy mają do zapamiętania wiele haseł, co prowadzi do częstych pomyłek, a te z kolei wywołują u użytkowników frustrację i niezadowolenie. W takiej sytuacji pomocnym staje się jedynie kolega z działu IT i kolejna zmiana hasła. Co jednak rozwiązuje problem, ale tylko na chwilę, ponieważ zmiana hasła nie gwarantuje, że kolejne nie zostanie przez użytkownika zapomniane. Następnym problemem związanym z logowaniem do programów jest fakt, iż polityka bezpieczeostwa firmy wymusza na pracownikach cykliczną zmianę haseł, których użytkownicy nie są w stanie zapamiętad, dlatego też przyklejają sobie na monitorze karteczki z kolejnymi frazami. Oczywistym jest fakt, że nie wpływa to pozytywnie na bezpieczeostwo informacji w firmie. W związku z tym proponujemy Paostwu innowacyjne rozwiązanie w postaci systemu Plugin SSO (Plugin Single Sign On). Jest to bezpieczna i bardzo prosta metoda dostępu do systemu BMC Remedy AR System. W bardzo szybki sposób i bez udziału użytkownika, Plugin SSO przeprowadza cały proces logowania, dzięki czemu pracownicy nie koncentrują się na zbędnych czynnościach takich jak wymyślanie hasła, którego się nie zapomni. Plugin SSO jest doskonałym rozwiązaniem, który sprawi, że wszystkie te problemy znikną, razem z frustracją pracowników i rozdrażnieniem specjalistów z działu IT. Strona z informacjami o Plugin-ie Single Sign On: http://www.remedy-sso.com 3
2 OPIS ROZWIĄZANIA Plugin SSO jest komponentem zapewniającym dostęp do systemu BMC Remedy AR System bez potrzeby ręcznego wprowadzania nazwy użytkownika i hasła. Plugin SSO do logowania wykorzystuje mechanizmy Security Support Provider Interface(SSPI). Są one uznanymi na całym świecie mechanizmami uwierzytelniającymi, używanymi przez oprogramowanie Windows, zapewniającymi najwyższy poziom bezpieczeostwa systemów informatycznych. Plugin SSO wspiera prowadzenie wspólnej polityki haseł dla całej firmy ponieważ, korzysta z jednej bazy haseł dla sieci korporacyjnej, przez co wzmacnia bezpieczeostwo informacji przechowywanych w systemie BMC Remedy AR System. Plugin SSO został zaprojektowany oraz przetestowany przez specjalistów od bezpieczeostwa informatycznego, co zapewnia, że twoje informacje będą jeszcze bezpieczniejsze niż dotychczas. Nasze rozwiązanie jako jedyne na świecie gwarantuje obsługę kryptograficznego protokołu sieciowego NT LAN Manager w wersji 2 (NTLMv2) opracowanego przez firmę Microsoft którego użycie jest zalecane i powszechnie stosowane przez najlepszych specjalistów od bezpieczeostwa informatycznego. Obsługa protokołu NTLMv2 jest zapewniona przez komponent stworzony przez firmę IOPLEX. Więcej szczegółów na temat tego rozwiązania można znaleźd na stronie internetowej: http://www.ioplex.com Plugin SSO jest gotowym rozwiązaniem Single Sign On dla systemu BMC Remedy AR System, wymagającym tylko instalacji oraz krótkiej konfiguracji. 4
3 ZASTOSOWANIE Komponent Single Sign On jest rozwiązaniem bardzo elastycznym, dającym się zastosowad w różnych środowiskach o różnej konfiguracji zarówno sprzętowej jak i systemowej. Komponent Single Sign On wspiera między innymi: Wersje BMC Remedy AR System: 7.0, 7.1, 7.5, Systemy operacyjne: Windows, Linux, Solaris and HP-UX, Kontenery J2EE: Apache Tomcat, Weblogic, Websphere oraz inne, Zewnętrzne systemy autentykacji które pozwalają autentykowad użytkownika przez protokół Http header takie jak ClearTrust oraz SiteMinder, Przeglądarki: Internet Explorer, Mozilla Firefox. (Mozilla Firefox wymaga włączenia w konfiguracji Autentykacji Windows), Maszyny wirtualna Javy: 1.5 oraz 1.6, Wszystkie odmiany protokołu NTLM (Domyślnie NTLMv2). 5
4 ZGODNOŚĆ Z INNYMI PRODUKTAMI Rozwiązanie automatycznego logowania Plugin SSO może byd wdrożone na poniższych systemach operacyjnych i platformach BMC ARS. Matryca kompatybilności rozwiązania Systemy operacyjne Windows 2000, 2003, 2008 Sun Solaris 9.x HP-UX 11.x Linux 2.6.x+ BMC Action Request System 7.0 7.1 (MT patch 6+) 7.5 (MT patch 1+) Plugin SSO wspiera wiele różnych typowych rozwiązao zabezpieczenia serwisów WWW. Popularne produkty Systemy autentykacji ClearTrust SiteMinder Quest QSJ HTTP Basic Plugin SSO wspiera również Windows Authentication (NTLM v2) w wersji Out of Box. 6
5 JAK PLUGIN SSO DZIAŁA Plugin SSO umożliwia dostęp do środowiska BMC Remedy AR System na podstawie autoryzacji wykonanej podczas logowania do korporacyjnej sieci, poprzez autoryzację do domeny Windows. Poprawne zalogowanie do domeny Windows oznacza, że użytkownik nie musi ponownie wpisywad nazwy użytkownika oraz hasła w chwili rozpoczęcia pracy z platformą BMC Remedy AR System. Plugin SSO pracuje jako plugin instalowany na BMC Remedy AR System. Może wspierad istniejące systemy Web-SSO lub pracowad autonomicznie. Komponent loguje automatycznie użytkowników łączących się z system BMC Remedy AR System przez przeglądarkę internetową lub przez program BMC Remedy User. Poniższy diagram pokazuje w jaki sposób Plugin SSO autoryzuje użytkownika przy pomocy protokołu Windows Authentication. Autoryzacja użytkowników przez Plugin SSO W przypadku przeglądarki internetowej Plugin SSO zostaje wywołany w momencie gdy użytkownik loguje się poprzez przeglądarkę internetową na jeden z wymienionych adresów Serwera Mid Tier: /arsys/home, /arsys/forms /arsys/apps Plugin SSO prosi przeglądarkę internetową użytkownika o przesłanie nagłówka NTLM z danymi użytkownika, a następnie sprawdza w kontrolerze Windows czy dane użytkownika są poprawne. Jeśli użytkownik został poprawnie zidentyfikowany przez kontroler Windows użytkownik otrzymuje dostęp do systemu BMC Remedy AR system. 7
Poniżej przedstawiony jest poglądowy diagram pokazujący w jaki sposób wykonywana jest autoryzacja użytkowników przez przeglądarkę internetową. Sposób Autoryzacji użytkownika przez przeglądarkę internetową W przypadku programu BMC Remedy User, Plugin SSO zostaje wywołany w momencie otwarcia programu. Plugin SSO uzyskuje bilet od specjalnej usługi SSO Authorization Service uruchomionej na dowolnym serwerze Windows po wcześniejszej autoryzacji przez protokół SSPI Negotiate (NTLM). Następnie program BMC Remedy User przesyła otrzymany bilet do systemu BMC Remedy AR system. Plugin AREA SSO weryfikuje otrzymany bilet w usłudze SSO Authorization Service. Po poprawnej weryfikacji biletu użytkownik uzyskuje dostęp do systemu BMC Remedy AR System. Każdy bilet jest generowany dla konkretnego użytkownika oraz dla komputera z którego jest nawiązywana próba połączenia z systemem BMC Remedy AR System. Poniżej przedstawiony jest poglądowy diagram pokazujący w jaki sposób wykonywana jest autoryzacja użytkowników przez narzędzie BMC Remedy User. 8
Sposób Autoryzacji użytkownika przez BMC Remedy User 9
6 INSTALACJA I KONFIGURACJA 6.1 Windows Authentication Jeżeli nie posiadasz zewnętrznego systemu SSO (ClearTrust, SiteMinder, itd.) i chcesz aby Mid- Tier autentykował użytkowników w Kontrolerze Windows, musisz wykonad dodatkowe kroki instalacji dla komponentu BMC Remedy Mid-Tier. Nasze rozwiązanie działa tylko wtedy kiedy Apache Tomcat jest uruchomiony jako aplikacja standalone. Nie wspieramy produktu ServletExec ponieważ ten produkt nie jest zalecany obecnie przez BMC. 6.2 ClearTrust / Sitemider Sesja ClearTrust oraz Siteminder po jakimś czasie wygasa. W związku z tym długośd tej sesji musi byd z synchronizowana z długością sesji modułu BMC Remedy Mid-Tier. Aby nie było takiej sytuacji, że użytkownik jest jeszcze zalogowany do systemu BMC Remedy AR System a nie jest już zalogowany do modułu SSO, należy wykonad podczas instalacji Mid-Tier-a następujące kroki: Skonfigurowad ClearTrust lub Siteminder do ochrony ścieżki /arsys/home, /arsys/forms oraz /arsys/apps. Ustawid długośd sesji MidTier o jedną minutę krótszą niż sesja w ClearTrust lub Siteminder. 6.3 Instalacja Instalacja rozwiązania jest podzielona na 4 części. Obejmuje one zarówno Serwer ARS (ITSM) moduł MidTier jak i stację koocową użytkowników używających narzędzia BMC Remedy User. Pierwsze dwie części instalacji są niezbędnie wymagane. Paczka instalacyjna zawiera 3 katalogi: mt,ars oraz rut. Pierwszy katalog zawiera pliki które są wymagane do zainstalowania na serwerze MidTier. Drugi katalog zawiera pliki wymagane do instalacji na serwerze ARS. Trzeci katalog zawiera pliki które są wymagane w przypadku autoryzacji SSO przez narzędzie BMC Remedy User. 6.4 Część I instalacji na środowisku serwerowym (Platforma ARS) Wszystkie pliki do wykonania tej części instalacji znajdują się w katalogu: ars Kopiowanie plików do systemu AR System 1. Należy skopiowad plik areasso.dll/areasso.so do katalogu operacyjnego Serwera AR System. (Jest to ten sam katalog w którym znajduje się plik arserver.exe) 10
2. Należy skopiowad plik area-sso.cfg/area-sso.conf do katalogu gdzie znajduje się plik ar.cfg/ar.conf. (Jest to ten sam katalog w którym znajduje się plik ar.cfg/ar.conf. Np.: c:\program files\ar System\Example\conf) 11
Sprawdzenie czy jest włączone AR External Authentication (AREA) W tym celu należy: Zalogowad się do narzędzia BMC Remedy User Tool Otworzyd formularz AR System Administration Console Otworzyd System->General->Server Information Otworzyd zakładkę EA Sprawdzid czy jest wybrane RPC 390695 Sprawdzid czy Cross Reference Blank Password jest zaznaczony Zapisad ewentualne zmiany. 12
Rysunek przedstawia sposób konfiguracji AR External Authentication Należy sprawdzić czy AREAHUB jest zainstalowany oraz uruchomiony Aby to sprawdzid należy obejrzed plik ar.cfg/ar.conf lub użyd narzędzia BMC Remedy User Tool. W tym celu należy wykonad: Zalogowad się do systemu BMC Remedy AR System przy pomocy narzędzia BMC Remedy User Tool na konto Administracyjne Wyszukad formę Configuration ARDBC Wylistowad rekordy zawierające w polu Value wartośd areahub Rysunek przedstawia sposób wyszukania areahub Jeśli na liście wyników pojawi się odpowiedni rekord, oznaczad to będzie, że AREA-HUB jest zainstalowany poprawnie. 13
Rysunek przedstawia rezultat wyszukania, jeśli areahub jest zainstalowany poprawnie Jeśli AREAHUB nie jest zainstalowany należy go zainstalowad robiąc odpowiednie wpisy w pliku ar.cfg/ar.conf: Windows Plugin: areahub.dll Solaris/Linux Plugin: areahub.so W celu weryfikacji poprawnego działania plugin-u AREAHUB należy zrestartowad serwis BMC Remedy AR System. Po restarcie w pliku logu dla Plugin Serwer-a powinien znaleźd się poniższy wpis (Jeśli plik z logiem jest duży wyszukaj w nim wartośd ARSYS.AREA.HUB): Aby włączyd logowanie Plugin Server-a należy przejśd do rozdziału Włączenie logowania Plugin Servera. 14
Konfiguracja AREAHUB do używania Plugin-u AREA SSO W celu uruchomienia plugin-u AREA SSO należy dodad do pliku ar.cfg/ar.conf poniższe wpisy. Konfiguracja wykorzystująca dodatkowo autoryzację w oparciu o LDAP: Plugin: areahub.dll AREA-Hub-Plugin: areasso.dll AREA-Hub-Plugin: arealdap.dll Konfiguracja wykorzystująca autoryzacje tylko w oparciu o usługę SSO Authentication Service: Plugin: areahub.dll AREA-Hub-Plugin: areasso.dll Konfiguracja Plugin-u AREA SSO w pliku area-sso.cfg/area-sso.conf W pliku area-sso.cfg/area-sso.conf znajdującego się na serwerze ARS należy zmienid poniższe wpisy: Parametr MidTier-Enabled Opis Jeśli użytkownicy będą się łączyd z systemem BMC Remedy AR System przez przeglądarkę internetową ten parametr powinien byd ustawiony na Enabled. Np.: MidTier-Enabled: Enabled MidTier-IP New-MidTier-Shared- Key RUT-Enabled AuthService-IP AuthService-Port Adresy serwerów Mid-Tier przez które użytkownicy będą się autoryzowad. Np.: MidTier-IP: 127.0.0.1;192.168.21.2 Hasło SharedKey identyczne jakie zostanie skonfigurowane w drugiej części instrukcji instalacji. Hasło zostanie zakodowane po restarcie serwisu BMC Remedy AR System w pliku area-sso.cfg/area-sso.conf. Np.: New-MidTier-Shared-Key: <hasło> Jeśli użytkownicy będą się łączyd z systemem BMC Remedy AR System przez program BMC Remedy User ten parametr powinien byd ustawiony na Enabled. Np.: RUT-Enabled: Enabled Adres IP serwisu SSO Authentication Service. Np.: AuthService-IP: 127.0.0.1 Parametr musi byd ustawiony w przypadku ustawienia flagi RUT-Enabled na Enabled. Port TCP na którym jest uruchomiony serwis SSO Authentication Service. Domyślną wartością parametru jest port 11000. Np.: AuthService-Port: 12000 15
Konfiguracja plugin-u AREA LDAP Jeżeli jest używany plugin BMC AREA LDAP do przechowywania informacji o użytkownikach w LDAP-ie lub w Active-Directory należy przejśd przez poniższy rozdział, w przeciwnym wypadku jeśli informacje o użytkownikach są przechowywane w formularzu User w systemie AR System należy przejśd od razu do rozdziału Włączenie logowania Plugin Servera. Po sprawdzeniu czy plugin AREAHUB jest poprawnie zainstalowany następnym krokiem jest skonfigurowanie lub sprawdzenie czy plugin BMC AREA LDAP jest poprawnie zainstalowany i skonfigurowany. Szczegóły instalacji oraz konfiguracji znajdują się w dokumentacji systemu BMC Remedy AR System: BMC Remedy Action Request System 7.0 Integrating with Plug-ins and Third-Party Products http://www.bmc.com/supportu/documents/84/67/58467/58467.pdf Strona 163 BMC Remedy Action Request System 7.1.00 Integrating with Plug-ins and Third-Party Products http://www.bmc.com/supportu/documents/93/94/69394/69394.pdf Strona 133 BMC Remedy Action Request System 7.5.00 Integration Guide http://www.bmc.com/supportu/documents/53/80/95380/95380.pdf Strona 143 Aby zweryfikowad czy konfiguracja plugin-u BMC AREA LDAP jest poprawna należy otworzyd formularz AREA LDAP Configuration i sprawdzid czy dane wpisane w formularzu są poprawne. 16
Rysunek przedstawia przykładową konfigurację Plugin-u BMC AREA LDAP. Włączenie logowania Plugin Servera W celu weryfikacji działania plugin-u AREA SSO należy włączyd logowanie Plugin Server-a poprzez zaznaczenie checkbox-a Plugin Server na formularzu Serwer Information w zakładce Log Files. Plugin Log Level ustawiamy na All. 17
Rysunek przedstawia sposób konfiguracji logowania Plugin Server-a 6.5 Część II instalacji na środowisku po stronie serwera Mid-Tier Wszystkie pliki do wykonania tej części instalacji znajdują się w katalogu: mt Środowisko Java SDK W pierwszym kroku należy sprawdzid czy na serwerze jest zainstalowana Java SDK. Do poprawnego działania systemu nie wystarczy instalacja Java JRE. Kopiowanie i zmiany w plikach 1. Należy dokonad edycji pliku Web.xml znajdującego się na serwerze Mid-Tier poprzez dopisanie do niego zawartości pliku web.xml.patch Zawartośd patcha należy dopisad do pliku Mid-Tier\WEB-INF \web.xml pomiędzy ostatnim wpisem typu </filter> i pierwszym wpisem typu <filter-mapping> 2. Skopiowad plik mt-sso.jar do katalogu Mid-Tier\WEB-INF\lib 3. Skopiowad plik jespa-1.0.9.jar do katalogu Mid-Tier\WEB-INF\lib 4. Skopiowad plik bcprov-jdk15-141.jar do katalogu Mid-Tier\WEB-INF\lib 5. Skopiowad plik mt-sso.config do katalogu Midtier\WEB-INF\classes 6. Skopiowad plik mt-sso.license do katalogu Midtier\WEB-INF\classes 7. Skopiowad katalog sso do katalogu Midtier\shared 8. Po powyższych modyfikacjach należy bezwzględnie zrestartowad serwer Mid-Tier. 18
Tworzenie konta serwisowego do komunikacji NETLOGON Jeżeli autoryzacja użytkowników ma odbywad się w kontrolerze Windows należy utworzyd w tym celu konto serwisowe w Active Directory. W przeciwnym wypadku należy przejśd do kolejnego punktu Konfiguracja plugin-u MidTier SSO przez stronę http. Do stworzenia konta serwisowego w Active Directory należy użyd narzędzia Active Directory Users and Computers (ADUC). Serwis NETLOGON wymaga aby konto było typu Komputer (Konto zwykłego użytkownika nie działa). Rekomendujemy aby w polu "Computer name" (cn) oraz "pre-windows 2000 name" (samaccountname) była wpisana ta sama wartość przy użyciu liter, cyfr oraz podkreślenia (Bez spacji). Utworzone konto serwisowe powinno posiadać swoje DN, które w kolejnym kroku należy użyć do zmiany hasła. Np.: Jeżeli konto nazywa się REMEDY a nazwa domeny w której założone jest konto to example.com DN dla tego konta będzie równe: CN=REMEDY,CN=Computers,DC=example,DC=com. Zmiana hasła do konta serwisowego Hasło do konta serwisowego musi byd wpisane w konfiguracji plugin-u MidTier SSO. Zmianę hasła można dokonad przy pomocy narzędzi Microsoftu lub przy pomocy załączonego do paczki instalacyjnej skryptu: 'SetComputerPass.vbs Option Explicit Dim strdn, objpassword, strpassword, objcomputer If WScript.arguments.count <> 1 Then WScript.Echo "Usage: SetComputerPass.vbs <ComputerDN>" WScript.Quit End If strdn = WScript.arguments.item(0) Set objpassword = CreateObject("ScriptPW.Password") WScript.StdOut.Write "Password:" strpassword = objpassword.getpassword() Set objcomputer = GetObject("LDAP://" & strdn) objcomputer.setpassword strpassword WScript.Echo WScript.Echo "Password set on " & strdn WScript.Quit Skrypt powinien być uruchamiany ze stacji posiadającej odpowiednie uprawnienia do Active Directory. Poniższy przykład demonstruje w jaki sposób zmienić hasło dla konta CN=REMEDY,CN=Computers,DC=example,DC=com: C:\>cscript SetComputerPass.vbs CN=REMEDY,CN=Computers,DC=example,DC=com Password: ********** 19
Konfiguracja plugin-u MidTier SSO przez stronę http W celu konfiguracji plugin-u MidTier SSO należy: 1. Otworzyd w przeglądarce internetowej stronę konfiguratora: http://path-to-midtier/arsys/shared/sso/config.jsp 2. Zalogowad się do Panelu administracyjnego przy pomocy hasła. Domyślne hasło do panelu administracyjnego: password 3. Wybrad General Settings Konfigurator MidTier SSO zawiera następujące sekcję: Core Configuration Parametr Turn On/Off Shared Key SSO Log Level Username conversion HTTP header(s) containing username Opis Włączanie lub wyłączanie plugin-u MidTier SSO W tym polu należy wpisad to samo hasło jakie zostało zdefiniowane po stronie serwera ARS (SharedKey) Poziom logowania plugin-u MidTier SSO Możliwe wartości: Info informacje o konfiguracji Trace informacje o osobach logujących się Debug informacje debugera All wszystkie informacje Konwersja nazwy użytkownika Możliwe wartości: To Upper case zamienia wszystkie litery w nazwie użytkownika na duże: Np.: ABAKER@EXAMPLE.COM To Lower case zamienia wszystkie litery w nazwie użytkownika na małe: Np.: abaker@example.com Jeżeli zewnętrzny system SSO przesyła nazwę użytkownika w specyficznym nagłówku HTTP, w tym polu należy wpisad nazwę tego nagłówka. W przeciwnym wypadku to pole powinno byd puste Windows Authentication Configuration Jeżeli autoryzacja użytkowników ma odbywad się w kontrolerze Windows należy wypełnid poniższe pola. W przeciwnym wypadku należy zrestartowad moduł Mid-Tier. Instalacja plugin-u MidTier SSO jest zakooczona. Parametr Active Directory Opis Nazwa domeny do której będą autentykowani użytkownicy. 20
domain NTLM log level Computer Account Computer Password Canonical Account Name Musi byd wpisana pełnym formacie: Np.: example.com Poziom logowania protokołu NTLM Możliwe wartości: None brak logowania Critical krytyczne błędy Basic Podstawowe informacje Detailed informacje szczegółowe Debbuging wszystkie informacje Nazwa konta użytkownika stworzonego w punkcie: Tworzenie konta serwisowego do komunikacji NETLOGON Np.: REMEDY$@EXAMPLE.COM* *Konieczne podanie jest znaku $ po nazwie użytkownika Hasło do konta użytkownika (Computer Account) zmienionego w punkcie: Zmiana hasła do konta serwisowego Format Nazwy użytkownika logującego się do systemu Remedy. Możliwe wartości: Username Tylko nazwa użytkownika. Np.: abaker. Backslash nazwa użytkownika + nazwa domeny rozdzielona znakiem \ Np.: EXAMPLE\abaker Principal nazwa użytkownika + pełna nazwa domeny rozdzielona znakiem @ Np.: abaker@example.com Po zapisaniu wszystkich zmian należy zrestartowad aplikację Mid-Tier. Konfiguracja plugin-u MidTier SSO poprzez edycję pliku mt-sso.config Aby ręcznie skonfigurowad plugin MidTier SSO należy zmienid plik mt-sso.config znajdujący się w katalogu Midtier\WEB-INF\classes. Core Configuration Parametr remedy.sso.status remedy.sso.username.case Opis Włączanie lub wyłączanie plugin-u MidTier SSO. Możliwe wartości: on/off Konwersja nazwy użytkownika Możliwe wartości: upper zamienia wszystkie litery w nazwie użytkownika na duże: Np.: ABAKER@EXAMPLE.COM lower zamienia wszystkie litery w nazwie użytkownika na małe: Np.: abaker@example.com 21
remedy.sso.http.header remedy.sso.new.sharedkey remedy.sso.loglevel Jeżeli zewnętrzny system SSO przesyła nazwę użytkownika w specyficznym nagłówku HTTP, w tym polu należy wpisad nazwę tego nagłówka. W przeciwnym wypadku to pole powinno byd puste. Hasło jakie zostało zdefiniowane po stronie serwera ARS (SharedKey). Po restarcie serwisu Mid-Tier hasło zostanie zahashowane i zapisane w pliku konfiguracyjnym w parametrze: remedy.sso.sharedkey Poziom logowania plugin-u MidTier SSO Możliwe wartości: Info informacje o konfiguracji Trace informacje o osobach logujących się Debug informacje debugijące All wszystkie informacje Windows Authentication Configuration Parametr jespa.bindstr jespa.log.level jespa.service.acctname jespa.service.new.password jespa.account.canonicalform Opis Nazwa domeny do której będą autentykowani użytkownicy. Musi byd wpisana pełnym formacie: Np.: example.com Poziom logowania protokołu NTLM 0 brak logowania 1 krytyczne błędy 2 Podstawowe informacje 3 informacje szczegółowe 4+ wszystkie informacje Nazwa konta użytkownika stworzonego w punkcie: Tworzenie konta serwisowego do komunikacji NETLOGON. Np.: REMEDY$@EXAMPLE.COM* *Konieczne podanie jest znaku $ po nazwie użytkownika Hasło do konta użytkownika (Computer Account) zmienionego w punkcie: Zmiana hasła do konta serwisowego. Po restarcie serwisu Mid-Tier hasło zostanie zahashowane i zapisane w pliku konfiguracyjnym w parametrze: jespa.service.password Format Nazwy użytkownika logującego się do systemu Remedy. Możliwe wartości: 2 Tylko nazwa użytkownika. Np.: abaker. 3 nazwa użytkownika + nazwa domeny rozdzielona znakiem \ Np.: EXAMPLE\abaker 4 nazwa użytkownika + pełna nazwa domeny rozdzielona znakiem @ Np.: abaker@example.com 22
W pliku można użyd dodatkowych opcji dla Windows Authentication. Więcej szczegółów na temat dodatkowych parametrów można znaleźd w dokumentacji technicznej do modułu Jespa: Jespa Operator's Manual 6.6 Część III instalacja usługi SSO Authentication Service Wszystkie pliki do wykonania tej części instalacji znajdują się w katalogu: rut Jeżeli automatyczne logowanie nie powinno działad w programie BMC Remedy User należy pominąd dalszą cześd tego rozdziału. SSO Authentication Service jest usługą uruchomioną na serwerze Windows, która identyfikuje użytkowników w kontrolerze Windows poprzez interfejs SSPI Negotiation (Protokół NTLM). Usługa może byd uruchomiania na dowolnym serwerze Windows podłączonym do domeny korporacyjnej. Uruchomienie instalatora 1. Należy uruchomid instalator Setup.exe na serwerze na którym ma byd zainstalowana usługa SSO Authentication Service będąc zalogowanym na konto Administratora. 2. Jeżeli na serwerze nie będzie zainstalowanego pakietu Microsoft.Net Framework 3.5 w pierwszej kolejności uruchomi się instalator tego pakietu. 3. Na ekranie powitalnym należy wcisnąd przycisk Next. 23
4. Na następnym ekranie należy wcisnąd przycisk Next. 5. Należy zaakceptowad umowę licencyjną, zaznaczając checkbox YES I accept the terms of the License Agreement, następnie należy nacisnąd przycisk Next. 24
6. Należy wybrad katalog w którym ma byd zainstalowane oprogramowanie, następnie należy wcisnąd przycisk Next. 7. Należy zaznaczyd na liście pozycję SSO Authentication Service oraz odznaczyd opcję SSO Authentication plugin, następnie nacisnąd przycisk Next. 25
8. Należy wpisad numer portu TCP na którym usługa będzie uruchomiona, następnie należy nacisnąd przycisk Next. 9. Należy wybrad format nazwy użytkownika następnie nacisnąd przycisk Next. 26
W polu Canonical Account Name do wyboru są następujące wartości: None nazwa użytkownika w formacie kontrolera windows Username Tylko nazwa użytkownika. Np.: abaker. Backslash nazwa użytkownika + nazwa domeny rozdzielona znakiem \ Np.: EXAMPLE\abaker Principal nazwa użytkownika + pełna nazwa domeny rozdzielona znakiem @ Np.: abaker@example.com W polu UserName Conversion do wyboru są następujące wartości: None brak konwersji nazwy użytkownika To Upper case zamienia wszystkie litery w nazwie użytkownika na duże: Np.: ABAKER@EXAMPLE.COM To Lower case zamienia wszystkie litery w nazwie użytkownika na małe: Np.: abaker@example.com 10. Należy podad lokalizację do systemu BMC Remedy AR System do którego użytkownicy będą automatycznie logowani. W przypadku pozostawianie formularza niewypełnionego, będzie wymagana konfiguracja narzędzia BMC Remedu User na każdej stacji użytkownika. Następnie należy nacisnąd przycisk Next. 27
11. Należy potwierdzid chęd kontynuowania instalacji naciskając przycisk Next. 12. Instalacja została zakooczona. Aby zamknąd instalator należy nacisnąd przycisk Finish. 28
13. Aby zweryfikowad czy usługa została zainstalowała poprawnie należy sprawdzid czy w ustawieniach serwera na liście usług jest poprawnie uruchomiona usługa SSO Auth Service. 6.7 Część IV instalacja plugin-u SSO Authentication dla BMC Remedy User Tool Wszystkie pliki do wykonania tej części instalacji znajdują się w katalogu: rut Aby automatyczne logowanie Single Sign On dla programu BMC Remedy User działało na koocowej stacji użytkownika niezbędne jest zainstalowanie plugin-u SSO Authentication. Uruchomienie instalatora 1. Należy uruchomid instalator Setup.exe na stacji koocowej użytkownika na której jest zainstalowany program BMC Remedy User. 2. Jeżeli na stacji użytkownika nie będzie zainstalowanego pakietu Microsoft.Net Framework 3.5 w pierwszej kolejności uruchomi się instalator tego pakietu. 3. Na ekranie powitalnym należy wcisnąd przycisk Next. 29
4. Na następnym ekranie należy wcisnąd przycisk Next. 5. Należy zaakceptowad umowę licencyjną, zaznaczając checkbox YES I accept the terms of the License Agreement, następnie należy nacisnąd przycisk Next. 30
6. Należy wybrad katalog w którym ma byd zainstalowane oprogramowanie, następnie należy wcisnąd przycisk Next. 7. Należy zaznaczyd na liście pozycję SSO Authentication plugin oraz odznaczyd opcję SSO Authentication Service, następnie nacisnąd przycisk Next. 31
8. Należy podad lokalizację do usługi SSO Authentication Service. Następnie należy nacisnąd przycisk Next. 9. Należy potwierdzid chęd kontynuowania instalacji naciskając przycisk Next. 32
10. Instalacja została zakooczona. Aby zamknąd instalator należy nacisnąd przycisk Finish. 11. Aby zweryfikowad czy plugin został poprawnie zainstalowany należy otworzyd program BMC Remedy User oraz sprawdzid czy użytkownik został automatycznie zalogowany do systemu BMC Remedy AR System bez potrzeby logowania. 33
7 TROUBLESHOOTING Jeżeli podczas instalacji wystąpił problem którego nie można rozwiązad należy wykonad poniższe kroki aby ułatwid nam zdiagnozowanie problemu. 7.1 SSO AREA plugin Na początku diagnozowania problemu należy zweryfikowad czy plugin SSO AREA jest poprawnie zainstalowany i skonfigurowany. Mid-Tier adres IP W pierwszej kolejności należy sprawdzid czy w pliku area-sso.cfg/area-sso.conf adres ip serwera Mid-Tier jest poprawnie skonfigurowany. Shared-Key Następnie należy zweryfikowad czy shared-key został poprawnie skonfigurowany. W tym celu należy uruchomid na serwerze na którym jest zainstalowany Mid-Tier narzędzie BMC Remedy User. Następnie w pole Username wpisad swój login pochądzący z Active-Directory, pole password należy pozostawid puste, w pole authentication należy wpisad shared-key skonfigurowany podczas instalacji. Jeśli próba logowania powiedzie się oznaczad to bedzie, że plugin SSO AREA jest poprawnie zainstalowany oraz skonfigurowany. W przeciwnym wypadku należy ponownie ustawid w pliku areasso.cfg/area-sso.conf poprawny shared-key. 7.2 AREA LDAP plugin Jeśli plugin AREA LDAP nie jest używany w celu autoryzacji użytkowników w Active Directory należy przejśd do następnęgo kroku. W przeciwnym przypadku należy uruchomid narzędzie BMC Remedy User. Następnie w pole Username wpisad swój login pochądzący z Active-Directory, w pole password należy wpisad hasło domenowe. Jeśli próba logowania powiedzie się oznaczad to bedzie, że plugin AREA LDAP jest poprawnie zainstalowany oraz skonfigurowany. W przeciwnym przypadku należy sprawdzid konfigurację pluginu AREA LDAP w formularzu AREA LDAP Configuration. 7.3 Mid-Tier SSO Plugin Jeśli SSO AREA plugin działa poprawnie w następnym kroku należy sprawdzid czy plugin po stronie Mid-Tier-a został poprawnie zainstalowany. MT-SSO.jar W pierwszej kolejności należy sprawdzid czy plik MT-SSO.jar został poprawnie zainstalowany. W tym celu należy sprawdzid czy plik MT-SSO.jar istnieje w katalogu Mit-Tier/WEB-INF/lib. mt-sso.config W kolejnym kroku należy sprawdzid czy plik mt-sso.config został poprawnie zainstalowany. W tym celu należy sprawdzid czy plik mt-sso.config istnieje w katalogu Mit-Tier/WEB-INF/classes. 34