Configurazione dell'autenticazione integrata

 Top  Previous  Next

 

La sezione “Autenticazione” della pagina di configurazione contiene i parametri relativi all’autenticazione integrata di Windows, questi sono:

 

Parametro “Corrispondenza”: è la regola in base alla quale il nome utente di Windows diventa un nome utente di Check&In. Permette eventualmente di semplificare la definizione degli utenti in Check&In.

 

Se vale “Nome e dominio”, il valore predefinito, allora il nome utente completo di dominio, convertito nella forma “utente@dominio”, viene ricercato fra gli utenti validi di Check&In. Ad esempio, se si è connessi a Windows come “Produzione\andrea”, deve esistere l’utente di nome “andrea@Produzione”.

 

Se il parametro vale “Nome senza dominio”, allora la ricerca nell’archivio utenti di Check&In utilizza solo la parte del nome: se si è connessi a Windows come “Produzione\andrea”, deve esistere l’utente di nome “andrea”.

 

In entrambi i casi, la ricerca considera solamente il nome e non la password e, a questo punto, ci sono due possibilità:

la ricerca ha successo: il processo di autenticazione procede a fare la verifica in Active Directory, se configurato;
la ricerca non ha successo: si viene reindirizzati alla pagina di login, con un messaggio di errore. A questo punto si è davanti alla procedura di login tradizionale, è possibile quindi eseguire l’autenticazione, inserendo esplicitamente nome e password.

Quando si è nella pagina di login, si deve tener presente che la verifica delle credenziali dell’utente controlla anche la password. Se si inserisce un nome utente che contiene una parte di dominio, allora il nome viene ricercato fra gli utenti di Check&In dopo che è stato convertito nella forma “utente@dominio”.

Ad esempio l’utente windows “Produzione\andrea” può autenticarsi via login inserendo il nome “Produzione\andrea” oppure “andrea@Produzione” e la relativa password: in entrambi i casi si cerca in archivio l’utente di nome “andrea@Produzione”.

 

Si noti che, utilizzando l’autenticazione integrata, è comunque importante definire gli utenti con una password, per proteggere l’accesso via login.

 

Sezione “Controlli”: con questa casella si decide se fare un controllo ulteriore sull’identità dell’utente, dopo che questo ha superato l’autenticazione di Windows e l’autenticazione di Check&In. Il significato delle opzioni è:

 

“Autenticazione di Check&In”: il processo di autenticazione termina dopo che Check&In ha individuato il nome utente nel suo archivio, come descritto sopra.
“Autenticazione di Check&In e di Active Directory”: come nel caso precedente, ma si applica un ulteriore controllo del nome da parte di un servizio di Active Directory, se il controllo fallisce l'effetto è di redirigere alla pagina di login e di segnalare l’errore.

 

Configurare lautenticazione di Active Directory

Quando in una realtà aziendale il dominio Windows è gestito mediante una macchina Windows 2000 o superiore, è disponibile un servizio detto Active Directory (di seguito: AD). AD è l’implementazione Windows del protocollo “Lightweight Directory Access Protocol”, LDAP. Le applicazioni possono interrogare AD per chiedere l’esistenza di certe risorse, come gli account utente. Il database di AD contiene in realtà elenchi di vario genere, come: nomi utente, nomi di macchine, di stampanti.

 

In questa sezione si definiscono i parametri per l’interrogazione di AD, che sono:

un percorso: identifica il server di dominio, e definisce un filtro sugli elenchi di AD, in modo da limitare la ricerca agli elenchi che interessano;
username e password: sono una coppia di credenziali valide sul web server e che sono utilizzate per eseguire le interrogazione di AD.

 

Il percorso

Il percorso si deve definire con la sintassi di LDAP, in forma generale è “LDAP://server/condizioni”. Se il controllore di dominio è “domainServer” ed il nome completo del dominio è “PRODUZIONE.AziendaSpa.it”, un percorso può essere il seguente:

LDAP://domainServer/DC=PRODUZIONE,DC=AziendaSpa,DC=it

Come si vede, il nome del dominio, viene separato nelle componenti (DC= “domain component”). E’ possibile indicare il percorso senza server, in tal caso AD cerca un controllore di dominio attivo.

 

Le credenziali

La coppia username e password inserite in queste caselle devono essere delle credenziali valide di un utente che ha i permessi di interrogare AD. Infatti, l’interrogazione è fatta da un processo che esegue con l’account predefinito ASPNET o NetworkService, il quale è fortemente limitato e non può accedere a AD. Credenziali valide da inserire sono ad esempio quelle di un utente amministratore, ma anche un utente con meno privilegi può andar bene.

Queste credenziali sono salvate nel file di Check&In web.xml, in forma criptata.

Per verificare la correttezza dei parametri, eseguire un test con il bottone “Verifica lo username”. In questa casella, se si indica un nome completo di dominio, si considera solo la parte nome e si scarta il dominio.

 

Interrogazione di Active Directory

La ricerca del nome in AD viene fatta con l’identità dell’utente indicato, secondo una tecnica detta impersonation (rappresentanza). La ricerca utilizza la sequente query:

 

“(&(objectClass=user)(objectCategory=person)(SAMAccountName=username))”

 

dove username è il nome dell’utente che proviene da Check&In. Questa query indica che si cerca un oggetto che appartiene alla classe “user”, alla categoria “person” e ha un nome account uguale a “username”.

Ad esempio, se nell’autenticazione integrata l’account è “Produzione\andrea”, la verifica in AD ricerca il nome “andrea” nel percorso configurato.