Open the menu

    JAAS

    Há quatro tipos de autenticação utilizando o protocolo JAAS:

    • A autenticação padrão do LumisXP, utilizando o lumis.portal.authentication.LumisLoginModule;
    • Autenticação utilizando com.sun.security.auth.module.Krb5LoginModule no Active Directory;
    • Autenticação customizada no banco utilizando o DatabaseLoginModule;
    • Autenticação utilizando um LoginModule customizado.
    Observações

    O LumisXP utiliza JAAS Login Module para realizar a autenticação no Active Directory.

    É possível utilizar outros módulos de login para fazer autenticação no LumisXP. Por exemplo, se as informações dos usuários estiverem em um banco de dados externo, basta implementar um Login Module que acesse a tabela com as informações e configurar o lumisdata/config/lumissecuritylogin.config para usar seu módulo customizado.

    Abaixo um exemplo de configuração do Login Module.

    AخA
     
    1
    LumisPortal {
    2
        lumis.portal.authentication.LumisLoginModule sufficient
    3
        debug=true;
    4
        com.sun.security.auth.module.Krb5LoginModule
    5
        sufficient debug=true;
    6
        mydomain.authentication.DatabaseLoginModule sufficient
    7
        debug=true
    8
        table=test_users
    9
        loginColumn=login
    10
        passwordColumn=password;
    11
    };

    Active Directory

    Para delegar a autenticação para o Active Directory basta alterar os seguintes arquivos:

    • lumisdata/config/lumisportalconfig.xml: Retirar o comentário da configuração do kerberos que define qual arquivo será utilizado pelo JAAS:
      14
       
      1
       <security>
      2
          <!-- Uncomment to configure a HTTP authenticator.
      3
                   See LumisXP documentation for details about included authenticators.
      4
          <httpAuthenticator className="lumis.portal.authentication.http.SpnegoAuthenticator" ></httpAuthenticator>
      5
           -->
      6
          <!-- Uncomment to configure Kerberos Authentication Protocol. See LumisXP documentation for details.
      7
          <kerberos>
      8
            <configurationFile>security/krb5.conf</configurationFile>
      9
          </kerberos>
      10
           -->
      11
       </security>
      12
       <!-- Uncomment to specify a custom security alias.
      13
       <securityAlias></securityAlias>
      14
        -->

      A tag <securityAlias> permite especificar um outro alias para substituir o default "LumisPortal", que no caso do Tomcat, está especificado no arquivo lumisdata/config/lumissecuritylogin.config.

    • lumisdata/config/security/krb5.conf: Arquivo de configuração do protocolo Kerberos, utilizado pelo JASS, que define as propriedades do sistema responsável pela autenticação.

      Assumindo que o nome do domínio é mydomain.net e o nome do servidor do AD é server01, o arquivo ficaria assim:

      12
       
      1
      [domain_realm]
      2
       mydomain.net = MYDOMAIN.NET
      3
      [libdefaults]
      4
            default_realm = MYDOMAIN.NET
      5
            dns_lookup_kdc = true
      6
      [realms]
      7
              MYDOMAIN.NET =
      8
              {
      9
            admin_server = server01
      10
           default_domain = MYDOMAIN.NET
      11
            kdc = server01
      12
       }

    • lumisdata/config/lumissecuritylogin.config: Inclua o login module Krb5LoginModule para autenticação com o protocolo Kerberos:

      4
       
      1
      LumisPortal {
      2
        com.sun.security.auth.module.Krb5LoginModule sufficient  debug=true;
      3
        lumis.portal.authentication.LumisLoginModule sufficient  debug=true;
      4
      };

      Essa configuração é para que o Lumis tente fazer primeiro o login com o AD e, se a autenticação não ocorrer com sucesso, tentar a autenticação padrão na base de dados do LumisXP.