Frage:
Wie konfiguriert man DocuWare mit Kerberos Authentifizierung?
Antwort:
Man unterscheidet hierbei zwischen externer und interner Kommunikation.
- Die externe Kommunikation findet mittels HTTP(S) zwischen den Client Anwendungen und den Server Komponenten statt.
- Die interne Kommunikation findet meist mittels TCP zwischen den einzelnen Server Komponenten statt.
Möglicherweise reicht es, lediglich die externe Kommunikation auf Kerberos Authentifizierung umzustellen, da die interne Kommunikation im LAN stattfindet.
In diesem Fall sollte die DW Administraton auch nur im LAN installiert und betrieben werden!
Konfiguration der Kerberos Authentifizierung für die externe HTTP(S) Kommunikation
Um die externe Kommunikation auf Kerberos Authentifizierung umzustellen, passen Sie bitte folgende "web.config" Dateien an:
- ...\DocuWare\Web\Settings\Web.config
Suchen Sie in der Datei nach "value="NTLM" und ersetzen Sie "NTLM" durch "Negotiate:Kerberos.
<windowsAuthentication enabled="true">
<providers>
<clear />
<add value="Negotiate:Kerberos" />
</providers>
</windowsAuthentication> - ...\DocuWare\Web\Platform\Web.config
Suchen Sie auch in dieser Datei nach "value="NTLM" und ersetzen Sie "NTLM" durch "Negotiate:Kerberos".
Beachten Sie, dass dieser Wert mehrmals vorkommt. Passen Sie alle Stellen entsprechend an.
<windowsAuthentication enabled="true">
<providers>
<clear />
<add value="Negotiate:Kerberos" />
</providers>
</windowsAuthentication>
Durch diese Anpassung wird der Windows Login vom IIS fortan immer mittels "Kerberos" durchgeführt! Ist die Kerberos Authentifizierung in Ihrem Netzwerk nicht korrekt eingerichtet, so wird der Windows Login scheitern.
Beachten Sie, dass für den Windows Login mittels Kerberos spezielle Anpassungen für die Browser erforderlich sind:
- Internet Explorer - Integrated Windows Authentication
- Mozilla Firefox - network.negotiate-auth.trusted-uris
- Google Chrome - AuthServerWhitelist
Konfiguration der Kerberos Authentifizierung für die interne Kommunikation der DocuWare Server Komponenten
Die interne Kommunikation der DocuWare Komponenten kann über die DocuWare Administration konfiguriert werden. Hierzu starten Sie die DocuWare Administration und navigieren in den Bereich DocuWare System - Server.
Passen Sie dort die Kommunikationskanäle für eingehende und ausgehende Kommunikation für alle aufgelisteten und installierten Server wie folgt an:
Starten Sie anschließend alle DocuWare Dienste neu!
Hierdurch werden die Einstellungen in die .settings Dateien übernommen
Durch die Anpassung der eingehenden Kommunikationskanäle auf "Kerberos" verlangen alle DocuWare Server diese Authentifizierungsmethode. Für die ausgehenden Kommunikationskanäle empfehlen wir, die Authentifizierungsmethode "Negotiate" zu verwenden ("Kerberos" oder "NTLM"). Im Prinzip können die ausgehenden Kommunikationskanäle ebenfalls auf "Kerberos" eingestellt werden. Die Kommunikation wird jedoch durch die eingehenden Kommunikationkanäle immer über "Kerberos" erfolgen.
Weitere Informationen:
