Kerberos-administrator – HP System Management Homepage-Software Benutzerhandbuch
Seite 47
Die Kerberos-Authentifizierung erfolgt anhand der speziellen URL /proxy/Kerberos in HP SMH.
Durch Zugriff auf die URL sucht SMH nach Kerberos-Anmeldeinformationen in der Anforderung
und führt die Benutzerauthentifizierung durch.
Falls der Benutzer nicht über gültige Kerberos- Anmeldeinformationen verfügt oder ein Fehler bei
der Authentifizierung auftritt, erscheint die Seite Sign In mit einer Fehlermeldung. Wenn zum Beispiel
die Zeitdifferenz zwischen den an der Authentifizierung beteiligten Systemen zu groß ist, erhält
der Benutzer eine Fehlermeldung und gelangt zur Seite Sign In.
Die Kerberos-Authentifizierung funktioniert nicht in folgenden lokalen Zugriffssituationen:
•
Zugriff auf HP SMH von dem System aus, auf dem der KDC (AD) installiert ist
•
Zugriff auf HP SMH von dem System aus, auf dem HP SMH installiert ist
Bei Auftreten eines Authentifizierungsfehlers ist vom Systemadministrator das Fehlerprotokoll des
HTTP-Servers für SMH zu überprüfen, um mehr Informationen über den Fehler zu erhalten.
Wenn beispielsweise die Zeitdifferenz zwischen den beteiligten Systemen zu groß ist, wird folgende
Protokollmeldung aufgezeichnet: Thu Jun 25 16:55:09 2009] [error] client
2001:db8:c18:1:b8ca:fcdf:d49d:b5c6] mod_spnego: Kerberos SSO
(QueryContextAttributes) failed; SSPI: The function requested is not
supported\r\n(-2146893054)
.
Die folgenden Berechtigungsebenen für Benutzer stehen zur Verfügung:
•
Administrator
Benutzer mit dem Zugriff Administrator können alle Informationen anzeigen, die von HP SMH
bereitgestellt werden. Die entsprechende Standardbenutzergruppe Administrators für
Windows-Betriebssysteme und und „root“ für HP-UX und Linux hat immer Administratorzugriff.
•
Operator
Benutzer mit Operator-Zugriff können die meisten Informationen anzeigen und einstellen, die
von HP SMH bereitgestellt werden. Bei einigen Webanwendungen haben ausschließlich
Administratoren Zugriff auf die wichtigsten Informationen.
•
Benutzer
Benutzer mit Benutzer-Zugriff können die meisten Informationen anzeigen, die von HP SMH
bereitgestellt werden. Bei einigen Webanwendungen können Personen mit Benutzer-Zugriff
die wichtigsten Informationen nicht anzeigen.
Um Kerberos zu aktivieren oder zu deaktivieren und um Gruppen zur Liste der zugelassenen
Kerberos-Gruppen hinzuzufügen, sind für die jeweiligen Zugriffsberechtigungsebenen die im
Folgenden beschriebenen Schritte auszuführen.
Die Kerberos-Unterstützung ist benutzerspezifisch.
Kerberos-Administrator
So fügen Sie einen Kerberos-Administrator hinzu:
1.
Wählen Sie im Menü die Option Settings (Einstellungen) aus.
2.
Klicken Sie im Feld System Management Homepage auf den Link Security (Sicherheit).
3.
Klicken Sie auf den Link Kerberos Authorization (Kerberos-Autorisierung).
4.
Aktivieren Sie im Bereich Kerberos Configuration (Kerberos-Konfigurierung) das Feld neben
Enable Kerberos Support (Kerberos-Unterstützung aktivieren).
5.
Geben Sie im Textfeld Group Name (Name der Gruppe) einen Namen im Format
group@REALM
oder BEREICH\gruppe ein.
Es dürfen nur alphanumerische Zeichen und Unterstriche verwendet werden. Die Verwendung
von Sonderzeichen wie ~ ' ! # $ % ^ & * ( ) + = / " : ' <> ? , | und ; ist nicht zulässig.
6.
Klicken Sie neben Type (Typ) auf das Optionsfeld Administrator.
Feld „System Management Homepage“
47