Code source wiki de Single sign-on NTLM
Modifié par Aurelie Bertrand le 2025/02/07 10:19
Afficher les derniers auteurs
| author | version | line-number | content |
|---|---|---|---|
| 1 | {{ddtoc/}} | ||
| 2 | |||
| 3 | ---- | ||
| 4 | |||
| 5 | Ce document décrit comment connecter la valve Waffle dans DigDash Enterprise pour activer la Sécurité Intégrée Windows (NTLM...). | ||
| 6 | |||
| 7 | Cet add-on est situé dans le dossier **<DDE install>/add-ons/singlesignon/Waffle**. | ||
| 8 | |||
| 9 | La version actuelle de Waffle est 1.8.1. | ||
| 10 | |||
| 11 | Ce document décrit chaque dossiers et fichiers à modifier pour activer cette valve. | ||
| 12 | |||
| 13 | = Configuration de Tomcat = | ||
| 14 | |||
| 15 | ((( | ||
| 16 | == Dossier lib == | ||
| 17 | |||
| 18 | Le chemin d'accès à ce dossier est le suivant : | ||
| 19 | |||
| 20 | * sous Linux : **/usr/share/tomcat9/lib/** | ||
| 21 | * sous Windows : **C:\Program Files\Apache Software Foundation\Tomcat 9.0\lib** | ||
| 22 | ))) | ||
| 23 | |||
| 24 | __Désinstallation de la version précédente de Waffle :__ | ||
| 25 | |||
| 26 | Dans le cas ou vous mettez à jour DigDash, il est possible qu’une ancienne version de Waffle ait été déployée sur votre Tomcat. Vous devez d’abord supprimer cette version du dossier **lib **(chemin d'accès indiqué ci-dessus)** **avant d’installer la nouvelle. | ||
| 27 | |||
| 28 | Veuillez vous référer au guide de déploiement Waffle de votre version précédente de DigDash Enterprise pour connaître la liste des fichiers de la librairie Waffle à supprimer. | ||
| 29 | |||
| 30 | Ajoutez les librairies JAR Waffle du dossier **<DDE install>/add-ons/singlesignon/Waffle/Tomcat9** dans le dossier **lib **(chemin d'accès indiqué ci-dessus) : | ||
| 31 | |||
| 32 | * caffeine-2.8.4.ja | ||
| 33 | * guava-19.0.jar | ||
| 34 | * jna-5.6.0.jar | ||
| 35 | * jna-platform-5.6.0.jar | ||
| 36 | * slf4j-api-1.7.21.jar | ||
| 37 | * slf4j-log4j12-1.7.21.jar | ||
| 38 | * log4j-1.2.15.jar | ||
| 39 | * waffle-jna-2.3.0.jar | ||
| 40 | * waffle-tomcat9-2.3.0.jar | ||
| 41 | * waffle_digdash_extension_tomcat9.jar | ||
| 42 | * log4j.properties | ||
| 43 | |||
| 44 | == Fichier context.xml == | ||
| 45 | |||
| 46 | Ce fichier est situé dans le répertoire suivant : | ||
| 47 | |||
| 48 | * sous Linux : **/etc/tomcat9/** | ||
| 49 | * sous Windows : **C:\Program Files\Apache Software Foundation\Tomcat 9.0\conf** | ||
| 50 | |||
| 51 | Décommentez ou ajoutez le XML suivant pour la valve de sécurité : | ||
| 52 | |||
| 53 | {{code language="XML" cssClass="notranslate"}} | ||
| 54 | <Valve className="waffle.apache.SharedNegotiateAuthenticator" | ||
| 55 | principalFormat="fqn" | ||
| 56 | roleFormat="both" | ||
| 57 | sharedPasswd="SecretPwdToChange" | ||
| 58 | allowAddr="localhost,127.0.0.*"> | ||
| 59 | </Valve> | ||
| 60 | {{/code}} | ||
| 61 | |||
| 62 | (% class="box" %) | ||
| 63 | ((( | ||
| 64 | Pour décommenter, supprimez les séquences **<!~-~-** et **~-~->** entourant le code xml. | ||
| 65 | ))) | ||
| 66 | |||
| 67 | Il est nécessaire de changer le mot de passe partagé (**sharedPasswd**). Ce mot de passe devra être identique à celui spécifié lors de la configuration du Tableau de bord et du Studio. | ||
| 68 | |||
| 69 | Vous pouvez aussi ajouter les adresses des hôtes distants autorisés (**allowAddr**) pour permettre à d'autres applications (digdash_dashboard) de se connecter au serveur DigDash Enterprise. Dans l'attribut **allowAddr**, vous devriez ajouter au minimum l'adresse IP de votre serveur. | ||
| 70 | |||
| 71 | Il est également possible d'ajouter des expressions régulières des chemins dont les ressources sont autorisées à passer la valve (//**excludedPaths**)//, passant ainsi en mode d’authentification LDAP. Par exemple :"/.*" | ||
| 72 | |||
| 73 | (% id="Hapache-tomcat2Fconf2Fweb.xml" %) | ||
| 74 | == Fichier web.xml == | ||
| 75 | |||
| 76 | Ce fichier est situé dans le répertoire suivant : | ||
| 77 | |||
| 78 | * sous Linux : **/etc/tomcat9/** | ||
| 79 | * sous Windows : **C:\Program Files\Apache Software Foundation\Tomcat 9.0\conf** | ||
| 80 | |||
| 81 | Décommentez ou ajoutez le XML suivant pour la contrainte de sécurité : | ||
| 82 | |||
| 83 | {{code cssClass="notranslate" language="XML"}} | ||
| 84 | <security-role> | ||
| 85 | <role-name>Tout le monde</role-name><!-- Voir ci-dessous pour plus d'informations --> | ||
| 86 | </security-role> | ||
| 87 | <security-constraint> | ||
| 88 | <display-name>Waffle Security Constraint</display-name> | ||
| 89 | <web-resource-collection> | ||
| 90 | <web-resource-name>Protected Area</web-resource-name> | ||
| 91 | <url-pattern>digdash_dashboard*</url-pattern> <!-- Mettre ici l'url de la webapp sur laquelle | ||
| 92 | va s'appliquer la waffle ou utiliser /* pour tout limiter --> | ||
| 93 | </web-resource-collection> | ||
| 94 | <auth-constraint> | ||
| 95 | <role-name>Tout le monde</role-name> | ||
| 96 | </auth-constraint> | ||
| 97 | </security-constraint> | ||
| 98 | <security-constraint> | ||
| 99 | <display-name>vjdbc Security Constraint</display-name> | ||
| 100 | <web-resource-collection> | ||
| 101 | <web-resource-name>UnProtected Area</web-resource-name> | ||
| 102 | <url-pattern>/vjdbc/*</url-pattern> | ||
| 103 | </web-resource-collection> | ||
| 104 | </security-constraint> | ||
| 105 | |||
| 106 | {{/code}} | ||
| 107 | |||
| 108 | Pour trouver le rôle à utiliser pour la waffle (role-name) : | ||
| 109 | |||
| 110 | * Ouvrez les logs de la waffle situé dans le fichier C:/Temp/dd-waffle.log. | ||
| 111 | * Trouvez la ligne SharedNegotiateAuthenticator.java:441 puis là où se trouvent les rôles. | ||
| 112 | * Sélectionnez le rôle à utiliser parmi ceux disponibles (choix client utilisateur). | ||
| 113 | |||
| 114 | (% class="box warningmessage" %) | ||
| 115 | ((( | ||
| 116 | Le nom du "security role" (role-name) DOIT correspondre au rôle réel que vous avez dans votre AD (localisé). Exemple : BUILTIN\Utilisateurs | ||
| 117 | ))) | ||
| 118 | |||
| 119 | Si vous n’êtes pas sûr du nom du rôle vous pouvez activer les informations de debug pour Waffle en utilisant le fichier log4j.properties fournit avec les jar. | ||
| 120 | |||
| 121 | Il suffit de le placer dans le répertoire : | ||
| 122 | |||
| 123 | * sous Linux : **/usr/share/tomcat9/lib/** | ||
| 124 | * sous Windows : **C:\Program Files\Apache Software Foundation\Tomcat 9.0\lib** | ||
| 125 | |||
| 126 | = Configuration des applications DigDash = | ||
| 127 | |||
| 128 | (% class="wikigeneratedid" id="Hdigdash.properties" %) | ||
| 129 | Toutes les applications de DigDash Enterprise se configurent via un seul fichier : **digdash.properties** | ||
| 130 | |||
| 131 | L'utilisation de ce fichier est décrite ici : [[Externalisation des paramètres dans un fichier //properties//>>doc:Digdash.deployment.configuration.advanced_system_guide.WebHome||anchor="externalisation"]] | ||
| 132 | |||
| 133 | Dans tout ce qui suit les noms par défaut des applications seront utilisés. Si vous avez renommé certains fichiers war vous devrez modifier le fichier **digdash.properties** en conséquence. | ||
| 134 | |||
| 135 | == Serveur (ddenterpriseapi.war) == | ||
| 136 | |||
| 137 | Cherchez la définition du paramètre **authMethod** et changez sa valeur en **NTUser** ou **NTUserOrLDAP**: | ||
| 138 | |||
| 139 | {{code language="properties" cssClass="notranslate"}} | ||
| 140 | ddenterpriseapi.authMethod=NTUser | ||
| 141 | {{/code}} | ||
| 142 | |||
| 143 | //Note ~:// | ||
| 144 | |||
| 145 | Le mode «** NTUserOrLDAP **» permet une authentification sur le serveur DigDash via la sécurité Windows Intégrée, avec une option pour s’authentifier via le LDAP DigDash en cas d’échec. | ||
| 146 | |||
| 147 | Par exemple, un utilisateur du domaine NT pourra automatiquement passer la valve Waffle avec son authentifiant Windows, mais, s’il n’existe pas dans le LDAP DigDash, il se verra proposer un écran de login pour s’authentifier avec un login DigDash. | ||
| 148 | |||
| 149 | Dans ce mode, un paramètre supplémentaire «** loginForm **» de certaines URLs permet d’afficher de toujours afficher l’écran de login DigDash. Ainsi, l’authentifiant Windows ne sert qu’à passer la valve Waffle. Un cas typique d’usage est de permettre à un utilisateur Windows de se connecter en tant qu’ « admin » dans des pages de configuration DigDash. | ||
| 150 | |||
| 151 | == Tableau de bord (digdash_dashboard.war) == | ||
| 152 | |||
| 153 | Cherchez la définition du paramètre **digdash_dashboard.sharedPasswd**. | ||
| 154 | Décommentez la ligne en supprimant le caractère **#** en début de ligne. | ||
| 155 | |||
| 156 | Changez la valeur du mot de passe (toutes les applications utilisant ce même paramètre devront utiliser la même valeur). | ||
| 157 | |||
| 158 | {{code language="properties" cssClass="notranslate"}} | ||
| 159 | digdash_dashboard.sharedPasswd=SecretPwdToChange | ||
| 160 | {{/code}} | ||
| 161 | |||
| 162 | (% class="box warningmessage" %) | ||
| 163 | ((( | ||
| 164 | Le mot de passe spécifié doit être identique à celui que vous avez mis dans le fichier **<DDE install>/apache-tomcat/conf/context.xml**. | ||
| 165 | ))) | ||
| 166 | |||
| 167 | |||
| 168 | (% class="wikigeneratedid" id="HParamE8tresrecommandE9spourleloginautomatiquedutableaudebord" %) | ||
| 169 | __Paramètres recommandés pour le login automatique du tableau de bord__ : | ||
| 170 | |||
| 171 | Il est recommandé de configurer les paramètres suivants lors du déploiement en mode Sécurité Windows Intégrée (Waffle). | ||
| 172 | |||
| 173 | Spécifiez (et forcez) le domaine DigDash Enterprise : | ||
| 174 | |||
| 175 | {{code language="properties" cssClass="notranslate"}} | ||
| 176 | digdash_dashboard.DOMAIN=ddenterpriseapi | ||
| 177 | digdash_dashboard.FORCEDOMAIN=true | ||
| 178 | |||
| 179 | {{/code}} | ||
| 180 | |||
| 181 | Spécifiez (et forcez) l’URL du serveur du domain DigDash Enterprise. | ||
| 182 | Utilisez l’adresse //localhost// si l’application web ddenterpriseapi est installée sur le même Tomcat que l’application web digdash_dashboard. | ||
| 183 | Adaptez le port si nécessaire : | ||
| 184 | |||
| 185 | {{code language="properties" cssClass="notranslate"}} | ||
| 186 | digdash_dashboard.SERVERURL=http://localhost:8080 | ||
| 187 | digdash_dashboard.FORCESERVERURL=true | ||
| 188 | {{/code}} | ||
| 189 | |||
| 190 | Spécifier une URL de déconnexion afin que l’utilisateur puisse se déconnecter de DigDash Enterprise et, par exemple, revenir à une page d’Intranet : | ||
| 191 | |||
| 192 | {{code language="properties" cssClass="notranslate"}} | ||
| 193 | digdash_dashboard.urlLogout=/adminconsole | ||
| 194 | {{/code}} | ||
| 195 | |||
| 196 | |||
| 197 | (% class="box warningmessage" %) | ||
| 198 | ((( | ||
| 199 | Par défaut la déconnexion du tableau de bord retourne à la page de login de ce dernier. Cette page n’existe pas dans le contexte du SSO. | ||
| 200 | Il est important de spécifier une URL de retour en cas de déconnexion. | ||
| 201 | ))) | ||
| 202 | |||
| 203 | Voir la documentation [[Réglages avancés des paramètres système>>doc:Digdash.deployment.configuration.advanced_system_guide.WebHome]] pour plus de détails sur ces paramètres. | ||
| 204 | |||
| 205 | == Studio (studio.war) == | ||
| 206 | |||
| 207 | (% id="cke_bm_653S" style="display:none" %) | ||
| 208 | |||
| 209 | (% id="cke_bm_389S" style="display:none" %) (%%)Cherchez la définition du paramètre **authMethod.** | ||
| 210 | Décommentez la ligne en supprimant le caractère # en début de ligne. | ||
| 211 | |||
| 212 | {{code language="properties" cssClass="notranslate"}} | ||
| 213 | studio.authMethod=NTUserOrLDAP | ||
| 214 | {{/code}} | ||
| 215 | |||
| 216 | Cherchez la définition du paramètre **studio.sharedPasswd**. | ||
| 217 | Décommentez la ligne en supprimant le caractère # en début de ligne. | ||
| 218 | Changez la valeur du mot de passe (toutes les applications utilisant ce même paramètre devront utiliser la même valeur). | ||
| 219 | |||
| 220 | {{code language="properties" cssClass="notranslate"}} | ||
| 221 | studio.sharedPasswd=SecretPwdToChange | ||
| 222 | {{/code}} | ||
| 223 | |||
| 224 | (% class="box warningmessage" %) | ||
| 225 | ((( | ||
| 226 | Le mot de passe spécifié doit être identique à celui que vous avez mis dans le fichier **<DDE install>/apache-tomcat/conf/context.xml**. | ||
| 227 | ))) | ||
| 228 | |||
| 229 | |||
| 230 | __Paramètres recommandés pour le login automatique du Studio__ : | ||
| 231 | |||
| 232 | Il est recommandé de configurer les paramètres suivants lors du déploiement en mode Sécurité Windows Intégrée (Waffle). | ||
| 233 | |||
| 234 | Spécifiez (et forcez) le domaine DigDash Enterprise : | ||
| 235 | |||
| 236 | {{code language="properties" cssClass="notranslate"}} | ||
| 237 | studio.FORCEDOMAIN=true | ||
| 238 | studio.DOMAIN=ddenterpriseapi | ||
| 239 | {{/code}} | ||
| 240 | |||
| 241 | Spécifiez (et forcez) l’URL du serveur du domain DigDash Enterprise. | ||
| 242 | Utilisez l’adresse **//localhost//** si l’application web **ddenterpriseapi** est installée sur le même Tomcat que l’application **studio**. | ||
| 243 | Adaptez le port si nécessaire : | ||
| 244 | |||
| 245 | {{code language="properties" cssClass="notranslate"}} | ||
| 246 | studio.FORCESERVERURL=true | ||
| 247 | studio.SERVERURL=http://localhost:8080 | ||
| 248 | {{/code}} | ||
| 249 | |||
| 250 | Spécifiez une URL de déconnexion afin que l’utilisateur puisse se déconnecter de DigDash Enterprise et, par exemple, revenir à une page d’Intranet : | ||
| 251 | |||
| 252 | {{code language="properties" cssClass="notranslate"}} | ||
| 253 | studio.urlLogout=/adminconsole | ||
| 254 | {{/code}} | ||
| 255 | |||
| 256 | Par défaut, la déconnexion du Studio retourne à la page de login de ce dernier. Cette page n’existe pas dans le contexte du SSO. | ||
| 257 | Il est important de spécifier une URL de retour en cas de déconnexion. |