LDAP-Authentifizierung und Autorisierung für FE-Benutzer

Es ist möglich, Webinhalte nur für autorisierte Besucher anzubieten, die sich mit ihrem TUHH-Benutzernamen und zugehörigem Passwort angemeldet haben. Wie das geht, wird in den nachfolgenden Kapiteln Schritt für Schritt erklärt. Als Beispiel sollen Webinhalte nur für die Mitarbeiter des Rechenzentrums freigeschaltet werden.

Schritt 1: Website Benutzergruppe einrichten

Als erstes wird eine Website Benutzergruppe eingerichtet.

  • Eine neue Seite vom Typ Order (Folder) anlegen, z.B. LDAP-Authentication, der Name ist aber beliebig.
  • In LDAP-Authentication mit "Neuen Datensatz erstellen --> Website Benutzergruppe" eine neue Website-Benutzergruppe anlegen. Diese Website-Benutzergruppe bekommt einen Gruppenamen. Wir nennen sie z.B. FE T3DOKU RZ GROUP , auch hier ist der Name beliebig. Weitere Konfigurationen sind nicht notwendig.

Schritt 2: LDAP-Filterregeln festlegen

Im nächsten Schritt wird konfiguriert, welche Benutzer der TUHH die Berechtigung erhalten sollen, die geschützten Webinhalte zu sehen. Dazu muss für die im ersten Schritt erstellte Seite ein neuer Datensatz erstellt werden. Als Datensatztyp wählen Sie Konfiguration LDAP / SSO.

  • Unter GENERAL bekommt der Datensatz einen Namen. Wir nennen ihn FE LDAP RZ USERS.
  • Unter LDAP wird die Beziehung zwischen Benutzergruppe und Benutzer festgelegt Hier müssen Sie immer Benutzer enthält die Liste der zugeordneten Gruppen wählen.
  • Unter FE_USERS wird festgelegt, welche LDAP-Bedingungen erfüllt sein sollen. Dazu müssen die Felder Base DN und Filter ausgefüllt werden.

    Hinweis 1: Im Feld Filter muss immer (uid={USERNAME}) vereinbart werden. Dies hat nichts mit dem LDAP zu tun, sondern ist eine Eigenheit der Extension. Ohne diese Vereinbarung kennt TYPO3 die UID des angemeldeten Benutzers nicht.

    Hinweis 2: Der LDAP-Server der TUHH ist so konfiguriert, dass nicht mehr als 500 Accounts durch eine LDAP-Anfrage ausgeliefert werden. Sollte Ihr LDAP-Filter auf mehr als 500 Accounts passen, müssen Sie für die LDAP-Authentifizierung mehrere Datensätze anlegen, die dann derselben lokalen Gruppe (s. weiter unten) zugeordnet werden. Gruppen mit mehr als 500 Accounts werden nicht importiert! Bei Fragen oder Problemen hilft die TYPO3-Beratung.

    Infos zum Thema LDAP-Filter finden Sie z.B. auf der Seite: http://www.selfadsi.de/ldap-filter.htm
    Bei Fragen oder Problemen wenden Sie sich bitte an die TYPO3-Beratung der TUHH.
  • Im Feld Lokale Gruppen, die zuzuordnen sind wird die im ersten Schritt angelegte Website-Benutzergruppe FE T3DOKU RZ GROUP  gewählt. Damit gibt es jetzt eine Beziehung zwischen der Website-Benutzergruppe FE T3DOKU RZ GROUP und dem Datensatz FE LDAP RZ USERS, der die LDAP-Konfiguration enthält: die Gruppe FE T3DOKU RZ GROUP umfasst die Benutzer, die durch FE LDAP RZ USERS festgelegt wurden.

Schritt 3: FE-Benutzer ins TYPO3-System importieren

FE-Benutzer können sich nur dann freischalten, wenn TYPO3 sie kennt. Deshalb werden sie beim ersten Anmeldeversuch automatisch ins TYPO3-System importiert. Allerdings werden die Einträge importierter Frontend-Benutzer nicht automatisch aktualisiert. Ein Frontend-Benutzer, der einer freigeschalteten Website-Benutzergruppe angehört wird bei der Anmeldung nicht automatisch für eine weitere Website-Benutzergruppe freigeschaltet, auch wenn er dieser angehört. Dies erledigt ein Cronjob, der einmal am Tag abgearbeitet wird (um 6:40 Uhr).

Der Chefredakteur hat die Möglichkeit, Frontend-Benutzer manuell zu importieren. Dazu im Benutzermenü (im Kopfbereich des Backend-Fensters) mit LDAP/SSO -> LDAP-Benutzer importieren (Frontend) -> Name des FE-LDAP-Datensatzes das zugehörige Formular öffnen und mit importieren einen FE-Benutzer ins TYPO3-System importieren bzw. mit aktualisieren einen bereits vorhandenen FE-Benutzer auch für die aktuelle Website-Benutzergruppe freischalten.

Nicht-Chefredakteure müssen bis zum nächsten Tag warten, bis der LDAP-Zugriffsschutz wie vereinbart funktioniert. Bitte beachten Sie dies, wenn Sie Webseiten für Besucher freischalten, die sich gegen den LDAP-Dienst authentifizieren müssen.

Schritt 4: Webinhalte vor unberechtigtem Zugriff schützen

Sie können sowohl für ganze Seiten als auch für einzelne Inhaltselemente einer Seite einen Zugriffsschutz konfigurieren. Im Bearbeitungsfenster werden unter Zugriff (Access) aus der Liste der verfügbaren Objekte diejenige Website-Benutzergruppen ausgewählt, deren Mitglieder der Zugriff erlaubt sein soll. In unserem Beispiel ist dies das Objekt  FE T3DOKU RZ GROUP, das im Schritt 1 erstellt wurde. Es können auch mehrere Objekte gewählt werden.

Hinweis: Die Gruppe LDAP-TUHH-GROUP ist zentral konfiguriert und umfasst alle TUHH-Accounts. Nutzen Sie diese Gruppe, wenn Sie die Sichtbarkeit von Webinhalten auf die Mitglieder der TUHH beschränken möchten.

Schritt 5: Anmeldeformular

Für die Freischaltung geschützer Inhalte wird ein Anmeldeformular benötigt. Für die TYPO3-eigene Authentifizierung und der LDAP-Authentifizierung nutzen Sie dasselbe Anmeldeformular.

Mehr dazu finden Sie im Kapitel Anmeldung.