Child pages
  • Crowd Dokumentation - Ein SSL-Zertifikat für MS Active Directory konfigurieren
Skip to end of metadata
Go to start of metadata


Sie können Crowd konfigurieren, damit es mit Microsoft Active Directory funktioniert, indem Sie einen LDAP-Konnektor in Crowd aufsetzen. Wenn Sie Benutzer hinzufügen oder Passwörter in Crowd ändern wollen, dann müssen Sie ein von Ihrem Active Directory Server generiertes SSL-Zertifikat installieren und danach das Zertifikat in Ihrem JVM-Keystore installieren.


Es gibt ein Confluence SSL Plugin, das diesen Prozess erleichtert.


Das Aktualisieren der Informationen von Benutzern, Gruppen und Gruppenzugehörigkeiten in Active Directory erfordert, dass Ihre Atlassian-Applikation in einer JVM läuft, die dem AD Server vertraut. Um das zu realisieren, generieren wir ein Zertifikat auf dem Active Directory Server und importieren dieses dann in Javas Keystore.


Die Voraussetzungen

Um ein Zertifikat zu generieren benötigen Sie die folgenden Komponenten auf Ihrem Windows Domain Controller, an den Sie anbinden möchten.

Erforderliche KomponenteErklärung
Internet Information Services (IIS)Diese Komponente ist erforderlich damit Sie die Windows Certificate Services installieren können.
Windows Certificate ServicesDiese Komponente installiert eine Zertifizierungsautorität (CA), die für die Erstellung von Zertifikaten verwendet wird. Der Schritt 1 unten erklärt diesen Prozess.
Windows 2000 Service Pack 2Ist erforderlich wenn Sie Windows 2000 verwenden.
Windows 2000 High Encryption Pack (128-Bit)Ist erforderlich wenn Sie Windows 2000 verwenden. Es bietet den höchsten, verfügbaren Verschlüsselungsgrad (128-Bit).


Schritt 1: Installieren Sie die Active Directory Certificate Services

Wenn die Certificate Services bereits installiert wurden, überspringen Sie diesen Schritt und machen Sie ab Schritt 2 weiter. Die Screenshots unten sind vom Server 2008, jedoch ist der Prozess bei Server 2000 und 2003 gleich.

  1. Loggen Sie sich als Administrator in Ihrem Active Directory Server ein.
  2. Klicken Sie auf Start, zeigen Sie auf Administrative Tools und klicken Sie dann auf Server Manager.
  3. Im Abschnitt Roles Summary klicken Sie auf Add Roles.



  4. Auf der Seite Select Server Roles, wählen Sie die Active Directory Certificate Services Checkbox aus. Klicken Sie zwei Mal auf Next.



  5. Auf der Seite Select Role Services, wählen Sie die Checkbox Certification Authority aus und klicken dann auf Next.



  6. Auf der Seite Specify Setup Type klicken Sie auf Enterprise und danach auf Next.



  7. Auf der Seite Specify CA Type klicken Sie auf Root CA und danach auf Next.



  8. Auf den Seiten Set Up Private Key und Configure Cryptography for CA können Sie optionale Einstellungen konfigurieren, sowie die Cryptographic Service Provider. Die Standardwerte sollten jedoch in Ordnung sein. Klicken Sie zwei Mal auf Next.



  9. In dem Feld Common name for this CA geben Sie die Bezeichnung des CAs ein und klicken anschließend auf Next.



  10. Auf der Seite Set Validity Period können Sie entweder die Standardwerte akzeptieren oder andere Speicherorte für die Zertifikats-Datenbank und das Zertifikats-Datenbank-Log definieren und dann auf Next klicken.





  11. Nachdem Sie die Informationen auf der Seite Confirm Installation Selections verifiziert haben, klicken Sie auf Install.



  12. Sehen Sie sich die Informationen auf der Ergebnisseite an, um festzustellen ob die Installation erfolgreich war.


Schritt 2: Beziehen Sie das Server-Zertifikat

Die obigen Schritte beschreiben wie Sie eine Zertifizierungsautorität (CA) auf Ihrem Microsoft Active Directory Server installieren. Nun müssen Sie das SSL-Zertifikat des Microsoft Active Directory Servers zu der Liste der akzeptierten Zertifikate, die von dem JDK verwendet werden, der Ihren Applikationsserver betreibt, hinzufügen.

Das Active Directory Zertifikat wird automatisch generiert und auf dem Root des C:\ Laufwerks abgelegt, mit dem gleichen Format wie die Baumstruktur Ihres Active Directory Servers. Zum Beispiel: c:\ad2008.ad01.atlassian.com_ad01.crt.

Sie können das Zertifikat auch exportieren, indem Sie diesen Befehl auf dem Active Directory Server ausführen:

certutil -ca.cert client.crt

Sie könnten sich nun trotz der Zertifikats-Datei immer noch nicht authentifizieren. In diesem Fall könnte Ihnen Microsofts Seite "LDAP over SSL (LDAPS) Certificate" weiterhelfen. Beachten Sie, dass Sie folgendes tun müssen:

  1. Wählen Sie im 10. Schritt der "Exporting the LDAPS Certificate and Importing for use with AD DS" Sektion "No, do not export the private key" aus.
  2. Wählen Sie im 11. Schritt der "Exporting the LDAPS Certificate and Importing for use with AD DS" Sektion "DER encoded binary X.509 (.CER)" aus.


Schritt 3: Importieren Sie das Server-Zertifikat

Damit ein Applikations-Server dem Zertifikat Ihres Verzeichnisses vertraut, muss das Zertifikat in Ihre Java-Runtime Umgebung importiert werden. Der JDK speichert vertrauenswürdige Zertifikate in einer Datei namens Keystore. Die Standard-Keystore-Datei heißt cacerts und befindet sich im jre\lib\security Unterverzeichnis Ihrer Java-Installation.

In den folgenden Beispielen verwenden wir server-certificate.crt um die von Ihrem Directory Server exportierte Zertifikatsdatei abzubilden. Sie müssen die unten stehenden Instruktionen anpassen, damit der generierte Name stimmt.

Nachdem das Zertifikat, wie unten beschrieben, importiert wurde, müssen Sie die Applikation neustarten, damit die Änderungen übernommen werden.


Windows

  1. Navigieren Sie zum Verzeichnis, in dem Java installiert ist. Es müsste in etwa so heißten:
    C:\Program Files\Java\jdk1.5.0_12.

    cd /d C:\Program Files\Java\jdk1.5.0_12
  2. Führen Sie den unten stehenden Befehl aus, aber ersetzen Sie den Teil "server-certificate.crt" mit dem Namen Ihres Directory Servers:

    keytool -importcert -keystore .\jre\lib\security\cacerts -file server-certificate.crt


  3. Keytool wird Sie nach einem Passwort fragen. Das Standard-Keystore-Passwort ist "changeit".
  4. Wenn Sie gefragt werden "Trust this certificate? [no]:", dann geben Sie "yes" ein, um den Import des Schlüssel zu bestätigen:

    Enter keystore password:  changeit
    Owner: CN=ad01, C=US
    Issuer: CN=ad01, C=US
    Serial number: 15563d6677a4e9e4582d8a84be683f9
    Valid from: Tue Aug 21 01:10:46 ACT 2007 until: Tue Aug 21 01:13:59 ACT 2012
    Certificate fingerprints:
             MD5:  D6:56:F0:23:16:E3:62:2C:6F:8A:0A:37:30:A1:84:BE
             SHA1: 73:73:4E:A6:A0:D1:4E:F4:F3:CD:CE:BE:96:80:35:D2:B4:7C:79:C1
    Trust this certificate? [no]:  yes
    Certificate was added to keystore


Sie können nun Ihren "URL" für die Verwendung von LDAP über SSL ändern (z. B. ldaps://<HOSTNAME>:636/) und die "Secure SSL" Option auswählen, wenn Sie Ihre Applikation mit Ihrem Directory Server verbinden.


UNIX

  1. Navigieren Sie zum Verzeichnis, in dem Java installiert ist und das von Jira verwendet wird. Wenn die Standard-JAVA-Installation verwendet wird, wäre es:

    cd $JAVA_HOME
  2. Starten Sie den unten stehenden Befehl und ersetzen Sie die Stelle "server-certificate.crt" mit dem Dateinamen Ihres Directory Servers:

    sudo keytool -importcert -keystore ./jre/lib/security/cacerts -file server-certificate.crt


  3. Keytool wird Sie nach einem Passwort fragen. Das Standard-Keystore-Passwort ist "changeit".
  4. Wenn Sie gefragt werden "Trust this certificate? [no]:", dann geben Sie "yes" ein, um den Import des Schlüssels zu bestätigen:

    Password:
    Enter keystore password:  changeit
    Owner: CN=ad01, C=US
    Issuer: CN=ad01, C=US
    Serial number: 15563d6677a4e9e4582d8a84be683f9
    Valid from: Tue Aug 21 01:10:46 ACT 2007 until: Tue Aug 21 01:13:59 ACT 2012
    Certificate fingerprints:
             MD5:  D6:56:F0:23:16:E3:62:2C:6F:8A:0A:37:30:A1:84:BE
             SHA1: 73:73:4E:A6:A0:D1:4E:F4:F3:CD:CE:BE:96:80:35:D2:B4:7C:79:C1
    Trust this certificate? [no]:  yes
    Certificate was added to keystore


Sie können jetzt den "URL" ändern, um LDAP über SSL zu verwenden (z. B. ldaps://<HOSTNAME>:636/) und die "Secure SSL" Option auswählen, wenn Sie Ihre Applikation mit Ihrem Directory Server verbinden.


Mac OS X

  1. Navigieren Sie zum Verzeichnis, in dem Java installiert ist. Das ist normalerweise:

    cd /Library/Java/Home
  2. Starten Sie den unten stehenden Befehl, aber ersetzen Sie die Stelle "server-certificate.crt" mit dem Dateinamen Ihres Directory Servers:

    sudo keytool -importcert -keystore ./jre/lib/security/cacerts -file server-certificate.crt


  3. Keytool wird Sie nach einem Passwort fragen. Das Standard-Keytool-Passwort ist "changeit".
  4. Wenn Sie gefragt werden "Trust this certificate? [no]:", dann geben Sie "yes" ein, um den Import des Schlüssels zu bestätigen:

    Password:
    Enter keystore password:  changeit
    Owner: CN=ad01, C=US
    Issuer: CN=ad01, C=US
    Serial number: 15563d6677a4e9e4582d8a84be683f9
    Valid from: Tue Aug 21 01:10:46 ACT 2007 until: Tue Aug 21 01:13:59 ACT 2012
    Certificate fingerprints:
             MD5:  D6:56:F0:23:16:E3:62:2C:6F:8A:0A:37:30:A1:84:BE
             SHA1: 73:73:4E:A6:A0:D1:4E:F4:F3:CD:CE:BE:96:80:35:D2:B4:7C:79:C1
    Trust this certificate? [no]:  yes
    Certificate was added to keystore

Sie können nun die "URL" ändern, um LDAP über SSL zu verwenden (z. B. ldaps://<HOSTNAME>:636/) und die Option "Secure SSL" auswählen, wenn Sie Ihre Applikation mit Ihrem Directory Server verbinden.




Crowd Dokumentation Übersicht:




Crowd Doku

  • No labels