===== Security ===== In diesem Bereich können Sie die Sicherheit des Systems erhöhen. ==== Einstellungen für die Anmeldeseite ==== * **Eingabe des Benutzernamens** - wenn diese Funktion aktiviert ist, werden Benutzernamen nicht in der Auswahlliste bei der Anmeldung angezeigt, sondern müssen eingegeben werden. * :!: Bevor die Funktion aktiviert wird, sollte geprüft werden, ob jeder Mitarbeiter einen [[de:team:sideboard:create_usernames|Benutzernamen]] hat (Modul Team) und diesen auch kennt. * Es gibt dazu auch unter "Aktionen">"Benutzernamen automatisch erstellen". * Sie können die **HTTPS Warnung** auf der Startseite abschalten. * Mittels **Nur aktive Benutzer anzeigen** werden bei "Benutzer Abmelden" nur die aktuell aktiven Benutzer angezeigt. Diese Option greift nur, wenn die Option "Eingabe des Benutzernamens" nicht aktiv ist. * :!: Beachten Sie, dass dadurch JEDER sehen kann, wer gerade angemeldet ist. ==== Sicherheit Allgemein ==== * **Schlüssel für die Session** - Beachten Sie die Hinweise exakt, wenn Sie den Schlüssel ändern möchten. * **Session Update Zeit** - Nicht ändern. * **Abmeldezeit Faktor** - Bei nicht Erreichbarkeit des Browsers, erfolgt die Abmeldung nach ''Abmeldezeit Faktor * Session Update Zeit''. Diese Abmeldung erfolgt, wenn sich der nächste Benutzer anmeldet. * **Automatische Abmeldung nach Inaktivität** - Erzwingt das Abmelden eines Benutzers bei Inaktivität. Wir empfehlen keinen Wert unter etwa einer Viertelstunde, da dies den Komfort zu sehr beeinträchtigt. Diese Abmeldung erfolgt über den Browser. ==== Kennwort Richtlinien ==== * Erzwingen Sie bestimmte Kennwortlängen bzw. Komplexität. ==== Zeige auf mobilen Geräten ==== * Sie haben die Möglichkeit, die Ansicht auf mobilen Geräten einzuschränken. Verfügbar ab X4 14.5.4 * Die Einstellungen können z.B. NUR für das Modul Stunden freigegeben werden: {{ :de:setup:setup:sideboard:system:view_mobiledevices.png?800 |}} * Die Mobile Ansicht könnte dann so aussehen: {{ :de:setup:setup:sideboard:system:mobileview_hours.jpg?500 |}} {{ :de:setup:setup:sideboard:system:mobileview_hours2.jpg?500 |}} ===== untermStrich Authentifizierung ===== ==== Standard ==== Dabei handelt es sich um die Standardauthentifizierung von untermStrich. Sie melden sich mit einem Benutzer(namen) und einem Passwort in untermStrich an. ==== Kerberos/NTLM - Security Support Provider Interface (SSPI) ==== Mittels [[http://de.wikipedia.org/wiki/Kerberos_%28Informatik%29|Kerberos]] kann ein Single Sign On realisiert werden. Die untermStrich Software GmbH hat keinen Einfluss auf die Entwicklung der genannten Module. Die untermStrich Software GmbH kann daher auch __keine Gewähr__ und __keinen Support__ dazu anbieten. === Einrichtung === :righty: Die notwendigen Apache Module, die Sie vor der Konfiguration in untermStrich aktivieren müssen: * Mod Auth Kerb [[http://modauthkerb.sourceforge.net/|mod_auth_kerb für Linux (eventuell Mac)]] * Ubuntu 22.04 - **Nicht getestet**: [[https://packages.ubuntu.com/jammy/libapache2-mod-auth-kerb|]] * Mod Auth gssapi - **Nicht getestet**: [[https://github.com/gssapi/mod_auth_gssapi/|]] * Ubuntu 22.04 - **Nicht getestet**: [[https://packages.ubuntu.com/jammy/libapache2-mod-auth-gssapi|]] * Mod Auth NTLM - **Nicht getestet**: [[https://www.apachehaus.com/cgi-bin/download.plx#MODULES24VS16|]] * Mod Authnz SSPI - **Nicht mehr verfügbar**: [[https://www.apachehaus.net/modules/mod_authnz_sspi/|mod_authnz_sspi für Apache 2.4 unter Windows]] * Prüfen Sie bitte, dass Sie die korrekte Version herunterladen. Auf [[http://open.untermstrich.com/httpserver:index]] ist immer beschrieben, welche VC Version das Bundle nutzt. (Aktuell VC11 als X86) * Mod Auth SSPI - **Nicht mehr verfügbar**: [[http://sourceforge.net/projects/mod-auth-sspi/|mod_auth_sspi für Apache 2.2 unter Windows]] :righty: Sie müssen die Option "Eingabe des Benutzernamens" aktivieren, damit Sie Kerberos/NTLM nutzen können. :righty: Der Benutzer muss in untermStrich angelegt werden und der Benutzername muss mit dem Directory übereinstimmen: * Geben Sie "FIRMA" als Domain Name an für: FIRMA\benutzer * Der "Benutzer" muss mit dem Benutzernamen in untermStrich übereinstimmen: FIRMA\benutzer :righty: Bei der Nutzung der REST Schnittstelle, des Connector 4VX oder wenn Sie ein Abmelden erlauben möchten: * Das SSPI/Kerberos darf dann nur für das Script SERVER/ustrich/ssologin.php aktiviert werden. * In der Konfiguration unter System - System­ein­stellungen muss im Feld * "Eigene Änderungen an config.php" folgender Eintrag hinzugefügt werden: * $config['sess_login_page'] = 'ssologin.php'; === Security Support Provider Interface (SSPI) === * Die Anleitung zur Konfiguration von mod_auth_sspi ist im Downloadpaket enthalten. * Die "Location" für die "SSPIAuth On" aktiv sein muss ist: * SERVER/ustrich/ssologin.php * In der Konfiguration unter System - System­ein­stellungen muss im Feld * "Eigene Änderungen an config.php" folgender Eintrag hinzugefügt werden: * $config['sess_login_page'] = 'ssologin.php'; === Test der Installation === Zum testen können Sie folgende PHP Datei nutzen: Als test.php am Server ablegen und im Browser aufrufen. Diese muss Ihnen bei korrekter Einrichtung den Benutzer ausgeben. :!r: **Dieser Test muss funktionieren, damit das Single Sign On über untermStrich genutzt werden kann. ** === Weitere Information === * [[http://de.wikipedia.org/wiki/Kerberos_%28Informatik%29|Wikipedia über Kerberos]] * [[http://de.wikipedia.org/wiki/NTLM|Wikipedia über NTLM]] * [[http://en.wikipedia.org/wiki/Security_Support_Provider_Interface|Wikipedia about SSPI]] * [[https://help.ubuntu.com/community/Kerberos#Apache|Kerberos unter Ubuntu]] * Wenn Sie Firefox nutzen, müssen Sie Ihre Seite unter ''network.automatic-ntlm-auth.trusted-uris'' eintragen. Details: [[https://developer.mozilla.org/en-US/docs/Integrated_Authentication|Integrated Authentication]] ==== AD/LDAP ==== Wenn Sie ein Windows-Domänennetzwerk haben und Ihre Windows Benutzer im ActiveDirectory verwalten ist es möglich, dass sie sich mit dieser Benutzernamen/Passwort Kombination auch in untermStrich anmelden.\\ \\ :righty: Voraussetzung dafür ist, dass die Benutzernamen im Modul Team von untermStrich mit ihren Windows Benutzernamen übereinstimmen.\\ \\ Beim untermStrich Login wird dann zunächst versucht sich mit Benutzername und Passwort am LDAP Server des AD anzumelden. Wenn das erfolgreich ist, ist der untermStrich Benutzer authentifiziert und kann untermStrich benutzen. Schlägt die Anmeldung am LDAP Server fehl wird automatisch ein Fallback auf die untermStrich Standard Authentifizierung gemacht. Damit ist es immer möglich sich auch mit den untermStrich eigenen Zugangsdaten anzumelden.\\ \\ :righty: Über die Option "untermStrich Passwort aktualisieren" kann das untermStrich eigene Passwort bei erfolgreicher Anmeldung am LDAP Server aktualisiert/gleichgesetzt werden.\\ {{ :de:setup:setup:sideboard:system:ldap_ad.png?600 |}} \\ Wenn sie einen **lokalen Exchange Server** nutzen können die Passwörter, die in der untermStrich E-Mail Konfiguration hinterlegt sind, bei einem erfolgreichen AD/LDAP Login ebenfalls aktualisiert werden. Dafür muss bei der Konfiguration des Mailkontos der passende Benutzer verknüpft werden. Diese Funktion ist vor allem dann sehr hilfreich wenn sich das Passwort regelmäßig ändert.\\ \\ {{ :de:setup:setup:sideboard:system:ldap_auth_email_update.png?600 |}}