===== Security =====
In diesem Bereich können Sie die Sicherheit des Systems erhöhen.

==== Einstellungen für die Anmeldeseite ====

  *  **Eingabe des Benutzernamens** - wenn diese Funktion aktiviert ist, werden Benutzernamen nicht in der Auswahlliste bei der Anmeldung angezeigt, sondern müssen eingegeben werden. 
    * :!: Bevor die Funktion aktiviert wird, sollte geprüft werden, ob jeder Mitarbeiter einen [[de:team:sideboard:create_usernames|Benutzernamen]] hat (Modul Team) und diesen auch kennt.
    * Es gibt dazu auch unter "Aktionen">"Benutzernamen automatisch erstellen". 
  * Sie können die **HTTPS Warnung** auf der Startseite abschalten.
  * Mittels **Nur aktive Benutzer anzeigen** werden bei "Benutzer Abmelden" nur die aktuell aktiven Benutzer angezeigt. Diese Option greift nur, wenn die Option "Eingabe des Benutzernamens" nicht aktiv ist.
    * :!: Beachten Sie, dass dadurch JEDER sehen kann, wer gerade angemeldet ist.

==== Sicherheit Allgemein ====

  * **Schlüssel für die Session** - Beachten Sie die Hinweise exakt, wenn Sie den Schlüssel ändern möchten.
  * **Session Update Zeit** - Nicht ändern.
  * **Automatische Abmeldung nach Inaktivität** - Erzwingt das Abmelden einen Benutzers bei Inaktivität. Wir empfehlen keinen Wert unter etwa einer Viertelstunde, da dies den Komfort zu sehr beeinträchtigt.

==== Kennwort Richtlinien ====

  * Erzwingen Sie bestimmte Kennwortlängen bzw Komplexität.

==== Security Support Provider Interface (SSPI) - Kerberos/NTLM ====
Mittels [[http://de.wikipedia.org/wiki/Kerberos_%28Informatik%29|Kerberos]] kann ein Single Sign On realisiert werden.

<wrap center round important>
Die untermStrich Software GmbH hat keinen Einfluss auf die Entwicklung der genannten Module. Die untermStrich Software GmbH kann daher auch __keine Gewähr__ und __keinen Support__ dazu anbieten.
</wrap>

=== Einrichtung ===

:righty: Die notwendigen Apache Module, die Sie vor der Konfiguration in untermStrich aktivieren müssen: 
  * [[https://www.apachehaus.net/modules/mod_authnz_sspi/|mod_authnz_sspi für Apache 2.4 unter Windows]]
    * Prüfen Sie bitte, dass Sie die korrekte Version herunterladen. Auf [[http://open.untermstrich.com/httpserver:index]] ist immer beschrieben, welche VC Version das Bundle nutzt. (Aktuell VC11 als X86)
  * <del>[[http://sourceforge.net/projects/mod-auth-sspi/|mod_auth_sspi für Apache 2.2 unter Windows]]</del>
  * [[http://modauthkerb.sourceforge.net/|mod_auth_kerb für Linux (eventuell Mac)]] 

:righty: Sie müssen die Option "Eingabe des Benutzernamens" aktivieren, damit Sie Kerberos/NTLM nutzen können.

:righty: Der Benutzer muss in untermStrich angelegt werden und der Benutzername muss mit dem Directory übereinstimmen: 
  * Geben Sie "FIRMA" als Domain Name an für: FIRMA<del>\benutzer</del>
  * Der "benutzer" muss mit dem Benutzernamen in untermStrich übereinstimmen: <del>FIRMA\</del>benutzer

:righty: Bei der Nutzung der REST Schnittstelle, des Connector 4VX oder wenn Sie ein Abmelden erlauben möchten:

  * Das SSPI/Kerberos darf dann nur für das Script <code>SERVER/ustrich/ssologin.php</code> aktiviert werden.

  * In der Konfiguration unter System - System­ein­stellungen muss im Feld
    * "Eigene Änderungen an config.php" folgender Eintrag hinzugefügt werden:
    * <code php>$config['sess_login_page'] = 'ssologin.php';</code>


=== Security Support Provider Interface (SSPI) ===
  * Die Anleitung zur Konfiguration von mod_auth_sspi ist im Downloadpaket enthalten.

  * Die "Location" für die "SSPIAuth On" aktiv sein muss ist:
    * <code>SERVER/ustrich/ssologin.php</code>
  * In der Konfiguration unter System - System­ein­stellungen muss im Feld
    * "Eigene Änderungen an config.php" folgender Eintrag hinzugefügt werden:
    * <code php>$config['sess_login_page'] = 'ssologin.php';</code>

=== Test der Installation ===
Zum testen können Sie folgende PHP Datei nutzen:
<file php>
<?php
echo "Benutzer: ";
echo $_SERVER["REMOTE_USER"];
?>
</file>

Als test.php am Server ablegen und im Browser aufrufen. Diese muss Ihnen bei korrekter Einrichtung den Benutzer ausgeben.

:!r: **Dieser Test muss funktionieren, damit das Single Sign On über untermStrich genutzt werden kann. **

=== Weitere Information ===
  * [[http://de.wikipedia.org/wiki/Kerberos_%28Informatik%29|Wikipedia über Kerberos]]
  * [[http://de.wikipedia.org/wiki/NTLM|Wikipedia über NTLM]]
  * [[http://en.wikipedia.org/wiki/Security_Support_Provider_Interface|Wikipedia about SSPI]]
  * [[https://help.ubuntu.com/community/Kerberos#Apache|Kerberos unter Ubuntu]]
  * Wenn Sie Firefox nutzen, müssen Sie Ihre Seite unter ''network.automatic-ntlm-auth.trusted-uris'' eintragen. Details: [[https://developer.mozilla.org/en-US/docs/Integrated_Authentication|Integrated Authentication]]