ModulLogin ve spolupráci s ModulTemplate2008 poskytuje přihlašovací formulář a odkaz pro odhlášení na jakékoli stránce.

Uživatelské použití je jednoduché, je možné použít Kerberos nebo OpenCms heslo (modul je ověřuje v tomto pořadí).

Uživatelské použití je jednoduché - ModulLogin ve spolupráci s ModulTemplate2008 poskytuje přihlašovací formulář a odkaz pro odhlášení na jakékoli stránce.

Zde je návod na instalaci modulů zajišťujících zabezpečení přihlášení a práce v systému OpenCms.

• V přihlašovacím formuláři secure-login-form.jsp je třeba nastavit final String SITE_URI na správnou hodnotu podle webu, na kterém je přihlašování nasazeno (např. = "http://beta.kiv.zcu.cz";).

(Prostě: pouze na zabezpečené stránce může být login formulář, který je v elements/secure-login-form.jsp .)

• V přihlašovacím formuláři secure-login-form.jsp je třeba nastavit @final String SITE_URI@ na správnou hodnotu podle webu, na kterém je přihlašování nasazeno (např. = "http://beta.kiv.zcu.cz";).

Podrobnosti viz ZabezpecenePrihlaseni (Jednoduché řešení).

Instalace

(Prostě: pouze na zabezpečené stránce může být login formulář, který je v @elements/secure-login-form.jsp@ .)

Poznámky k implementaci

• V přihlašovacím formuláři @secure-login-form.jsp@ je třeba nastavit @final String SITE_URI@ na správnou hodnotu podle webu, na kterém je přihlašování nasazeno (např. @= "http://beta.kiv.zcu.cz";@).

• nastaví se zabezpečení následujících přihlašovacích stránek (udělá se v cfg Apache):

• umístění login_element_secure.jsp resp. frontendové stránky, do které je vkládán

• pokud se používá v šabloně login_element.jsp (tlačítko "přihlásit se" - nikoli odkaz), nastaví se v login_element.jsp pro přihlášení form action odkaz na login_element_secure.jsp resp stránku na které je vkládán

(Prostě: pouze na zabezpečené stránce může být login formulář, který je v login_element_secure.jsp .)

Archív s instalačními soubory: login fomuláře.

• z plné varianty popsané níže se použijí pouze kroky 6 a 7

• do <opencmsroot>/WEB-INF/lib adresáře se přidá kerberos-authentication.jar (J.Boháč BP 2007) TBD .jar ke stažení

• do <opencmsroot>/WEB-INF/lib adresáře se přidá kerberos-authentication.jar (J.Boháč BP 2007)

• /opencms/system/login

2. Nastavení zabezpečeného přístupu https v souboru <CATALINA_HOME>/conf/server.xml pro Tomcat. Viz. http://tomcat.apache.org/tomcat-5.5-doc/ssl-howto.html

• Spuštěním tohoto souboru dojde k přepsání některých tříd v instalaci OpenCms.
• Aby bylo možné tyto změny kdykoliv vrátit a uvést tak systém do původního stavu, obsahuje ANT-soubor také cíl resetChanges. Při instalaci se totiž vytvoří záloha původního souboru opencms.jar. Místo kam se tento soubor uloží, je možné nastavit pomocí property backupDir implicitně se tento adresář jmenuje Backup. Pomocí cíle resetChanges se tedy tento původní soubor může vrátit na Tomcat a vymazat tak změny provedené v OpenCms.

Jak získat v mé šabloně "zabezpečenou" login screen: úplně stejně jako v org.opencms.welcome.template.*.jsp - náš modul si vše zařídí sám

6. Nastavení cesty k LoginConfigurationFile

Tento file říká Javě, že si má pro autentikaci používat Kerberos (příslušné třídy v com.sun.security.auth.module.Krb5LoginModule). Cesta k němu se nastavuje v Tomcat Java Options – tato vlastnost poté platí jen pro Tomcat a ne pro celý JVM.

Soubor se při instalaci modulu ANTem nakopíruje do adresáře Kerberos_Configuration v rootu Tomcatu.

    -Djava.security.auth.login.config=CESTA_K_KerbNastaveni.conf

Pro Linux se toto provede pomocí doplnění hodnoty proměnné CATALINA_OPTS v souboru /etc/environment, nebo přímo ve spouštěcím scriptu tomcatu (/etc/init.d/tomcat). Pro změnu těchto souborů musíte mít root práva.

Dalším krokem je nastavení cesty k souboru, který obsahuje parametry protokolu Kerberos 5. Tento soubor by se na všech počítačích používaných v prostředí ZČU již měl nacházet na správném místě (kde jej Java standardně vyhledává). Na linuxových strojích se tento soubor jmenuje krb5.conf a je v adresáři /etc, na windows se tento soubor jmenuje krb5.ini a měl by být v adresáři c:\winnt. Pokud se tento soubor nevyskytuje na jednom z těchto míst, existují další, kde jej Java hledá – viz dokumentace v JAAS.

Eventuelně (stalo se nám s Javou 6 která se neuměla domluvit s kerberem na použitém šifrování - výjimka BadEncryptionType) je možné cestu k tomuto souboru nastavit pomocí parametru:

      -Djava.security.krb5.conf=CESTA_K_SOUBORU_KRB5.CONF

Tento soubor se při instalaci nakopíruje do adresáře Kerberos_Configuration v instalačním adresáři Tomcatu (stejně jako Login Configuration File).

• přihlášení na back-end (workplace), přejít do Admin view
• naimportovat modul org.opencms.welcome_4.2.5.zip
• zpět do Explorer view, jít do system/modules/org.opencms.welcome/elements/
• v login_element.jsp upravit odkaz na login_module_secure.jsp ve formuláři a javascriptu, viz. řádky s TODO komentářem
• upravit url v login_element_secure.jsp pro přechod na zabezpečené url (na sebe sama při nezabezpečeném přístupu), viz. TODO komentář

11. Pokud se objevuje stále starý modul (tzn. na nezabezpečené stránce je formulář pro přihlašovací údaje), je třeba vymazat adresář org.opencms.welcome v <opencmsroot>/WEB-INF/jsp/online/system/modules/

Jak získat v mé šabloně "zabezpečenou" login screen: úplně stejně jako v org.opencms.welcome.template.*.jsp - náš modul si vše zařídí sám

login fomuláře

kompletní řešení

• nastaví se zabezpečení přihlašovacích stránek (Apache):

• umístění login_element_secure.jsp

• do login_element.jsp, který přijde do template, se nastaví odkaz na login_element_secure.jsp

Archív s instalačními soubory:
login fomuláře

Jednoduché řešení (nasazení 4/2009)

Platí pro nasazení Apache + Tomcat, kde:

• vynucování HTTPS obstaráva Apache
• Tomcat není schopen rozpoznat HTTP x HTTPS - request.isSecure() je vždy false
• nelze použít validační filtr.

Bude umět - viz ZabezpecenePrihlaseni (Jednoduché řešení).

Instalace

• do %opencms%/web-inf/lib adresáře se přidá kerberos-authentication.jar (Boháč BP)

• z plné varianty použijí pouze kroky 6 a 7
• nastaví se zabezpečení přihlašovacích stránek
  • /system/login
  • umístění login_element_secure.jsp
• do login_element.jsp, který přijde do template, se nastaví url na login_element_secure.jsp

Kompletní řešení

Návod na dočasné řešení

2. Nastavení portů http, https v CmsLogin.java. Kompilace souboru a vložení do instalačního balíku.

3. Instalace dle bodů 4 a 6 uvedených výše.

4. Zakázání autentikace pomocí okna prohlížeče.

V souboru <opencmsroot>/WEB-INF/config/opencms-system.xml, nastavíme:
<http-authentication>

</http-authentication>

5. Spusťe Tomcat.

Plná varianta

1. Zastavte Tomcat.

      <param-value>https://server_name1:secure_port/opencms/opencms/system/modules/org.opencms.welcome/elements/login_element_secure.jsp</param-value>

server_name1:secure_port - jméno serveru s portem HTTPS

      <param-value>https://@]\server_name1:secure_port\[@/opencms/opencms/system/modules/org.opencms.welcome/elements/login_element_secure.jsp</param-value>

    <filter-class>cz.zcu.kiv.opencms.ValidateAuthFilter?</filter-class>

      <param-value>https://@]server_name1:secure_port[@/opencms/opencms/system/modules/org.opencms.welcome/elements/login_element_secure.jsp</param-value>

Do tagu <web-app> přidáme:

<filter>
    <filter-name>[=ValidateAuthFilter=]</filter-name>
    <filter-class>cz.zcu.kiv.opencms.[=ValidateAuthFilter=]</filter-class>
    <init-param>
      <param-name>timeout</param-name>
      <param-value>15000</param-value>
    </init-param>
    <init-param>
      <param-name>val-url</param-name>
      <param-value>https://'''server_name1:secure_port'''/opencms/opencms/system/modules/org.opencms.welcome/elements/login_element_secure.jsp</param-value>
    </init-param>
</filter>
<filter-mapping>
    <filter-name>ValidateAuthFilter</filter-name>
    <url-pattern>/opencms/*</url-pattern>
</filter-mapping>

timeout – čas po kterém bude při requestu vyvolána validační smyčka
val-url – url validační stránky, která je součástí welcome modulu

V souboru <opencmsroot>/WEB-INF/config/opencms-system.xml, nastavíme:

</sites>@]

Použít toto řešení:

<security-constraint>
  <web-resource-collection>
    <web-resource-name>SecureWorkplace</web-resource-name>
    <url-pattern>/opencms/system/*</url-pattern>
  </web-resource-collection>
  <user-data-constraint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
  </user-data-constraint>
</security-constraint>

• cz.zcu.kiv.opencms
• authentication.jar

• opencms.jar

c) V instalačním adresáři Tomcatu se vytvoří adresář Kerberos_Configuration, do kterého se nakopírují soubory potřebné pro správnou funkčnost autentizace protokolem Kerberos:

• krb5.conf
• KerbNastaveni.conf

5. Nastavení filtru v <opencmsroot>/WEB-INF/web.xml

[@<sites>

</sites>@]-}

{-V souboru <opencmsroot>/WEB-INF/config/opencms-system.xml, nastavíme:

  <workplace-server>https://server_name1:secure_port</workplace-server>
  <default-uri>/sites/default/</default-uri>
  <site server="http://server_name1:unsecure_port" uri="/sites/default/">
    <secure server="https://server_name1:secure_port" exclusive="true" error="false" />
  </site>

Jednoduchá varianta (nasazení 4/2009)

{-V souboru <opencmsroot>/WEB-INF/config/opencms-system.xml, nastavíme:
<sites> <workplace-server>https://server_name1:secure_port</workplace-server> <default-uri>/sites/default/</default-uri>'' <site server="http://server_name1:unsecure_port" uri="/sites/default/"> <secure server="https://server_name1:secure_port" exclusive="true" error="false" /> </site> </sites>-}

Poznámky k nasazení Apache + Tomcat

• vynucování https obstaráva Apache - bod 3 není třeba
• Tomcat není schopen rozpoznat https - request.isSecure() je vždy false
• lze použít validační filtr (pouze kontrola secure token) na URL, o kterých víme, že jsou na https
• stávající mechanismus vytváření validační smyčky při http přístupu je obtížné realizovat

kompletní řešení

neni třeba řešit - apache jede na ssl a tomcatu to přeposílá interně bez ssl => tomcat nepotřebuje https

TODO - zabezpeceni stranek atd.

Udělá se tak, že se

• do opencms lib adresáře přidá kerberos-authentication.jar
• opatchuje se OpenCms (TBD kde je patch)
• z plné varianty použijí pouze kroky 6 a 7.

Eventuelně (stalo se nám s Javou 6 která se neuměla domluvit s kerberem na použitém šifrování - výjimka BadEncryptionType?) je možné cestu k tomuto souboru nastavit pomocí parametru:

Tento file říká Javě, že si má pro autentikaci používat Kerberos (příslušné třídy v com.sun.security.auth.module.Krb5LoginModule?). Cesta k němu se nastavuje v Tomcat Java Options – tato vlastnost poté platí jen pro Tomcat a ne pro celý JVM.

Soubor se při instalaci modulu ANTem nakopíruje do adresáře Kerberos_Configuration v rootu Tomcatu.

Nastavení cesty se provede pomocí následující konstrukce:

Eventuelně () je možné cestu k tomuto souboru nastavit pomocí parametru:

Návod na instalaci modulů zajišťujících zabezpečení přihlášení a práce v systému OpenCms.

Poznámka: Právě probíhá testování na verzi 7.0.5.

Jednoduchá varianta

= pouze https na login page a autentikace proti krb, bez vychytávek s ochranou session.

Udělá se tak, že se z plné varianty použijí pouze kroky 6 a 7.

Plná varianta

• lze použít validační filtr (pouze kontrola secure token) na URL, o kterých víme, že jsou na https
• stávající mechanismus vytváření validační smyčky při http přístupu je obtížné realizovat

• Tomcat není schopen rozpoznat https - request.isSecure() je vždy false

• Tomcat není schopen rozpoznat https
• lze použít validační filtr (pouze kontrola secure token) na URL, o kterých víme, že jsou na https

• vynucování https obstaráva Apache - bod 3 není třeba
• Tomcat není schopen rozpoznat https

dočasné řešení - musí být upraveno dle nastavení serveru

Poznámky k nasazení Apache + Tomcat

• vynucování https obstaráva Apache - bod 3 není třeba

neni třeba řešit - apache jede na ssl a tomcatu to přeposílá interně bez ssl => tomcat nepotřebuje https

dočasné řešení - musí být upraveno dle nastavení serveru

2. Nastavení portů http, https v CmsLogin.java. Kompilace souboru a vložení do instalačního balíku.

2. Nastavení portů http, https v CmsLogin.java.

2. Nastavení portů http, https v CmsLogin?.java.

3. Instalace dle bodů 4 a 6 uvedených výše.

4. Zakázání autentikace pomocí okna prohlížeče.

5. Spusťe Tomcat.

kompletní řešení

dočasné řešení

2. Instalace dle bodů 4 a 6 uvedených výše.

kompletní řešení

dočasné řešení

1. Zastavte Tomcat.

2. Instalace dle bodů 5 a 6 uvedených výše.

3. Zakázání autentikace pomocí okna prohlížeče.

4. Spusťe Tomcat.

V souboru <opencmsroot>/WEB-INF/config/opencms-system.xml, nastavíme:

Návod na dočasné řešení

-V souboru <opencmsroot>/WEB-INF/config/opencms-system.xml, nastavíme:-}
<http-authentication>

</http-authentication>

Poznámka: Právě probíhá testování na verzi 7.0.5

Poznámka: Právě probíhá testování na verzi 7.0.x

Nasazení

Probíhá testování na verzi 7.0.x

• v login_element.jsp upravit odkaz na login_module_secure.jsp ve formuláři a javascriptu, viz. řádky s TODO komentářem

V souboru <opencmsroot>/WEB-INF/config/opencms-system.xml, nastavíme:\\

<secure server="https://server_name1:secure_port" exclusive="true" error="false" />

Tag <secure> v daném tvaru je třeba jen u definice <site>, která má server shodný s <workplace-server>.

-<secure server="https://server_name1:secure_port" exclusive="true" error="false" />-

9. Restartujte Tomcat.

12. Restartujte Tomcat.

11. Pokud se objevuje stále starý modul (tzn. na nezabezpečené stránce je formulář pro přihlašovací údaje), je třeba vymazat adresář org.opencms.welcome v <opencmsroot>/WEB-INF/jsp/online/system/modules/

prozatimní řešení: tag <secure> nepoužívat\\

NALEZEN PROBLÉM: divné chování workplace cms po výše uvedeném nastavení

<web-resource-name>SecureWorkplace</web-resource-name>

<url-pattern>/opencms/system/*</url-pattern>

</security-constraint>

9. Restartujte Tomcat. Oba soubory je poté nutno publikovat do online projektu.

NALEZEN PROBLÉM: divné chování workplace cms... na řešení se pracuje

NALEZEN PROBLÉM: divné chování workplace cms... na řešení se pracuje
prozatimní řešení:
Do <opencmsroot>/WEB-INF/web.xml

<security-constraint>

PROBLÉM!!! divné chování workplace cms... na řešení se pracuje

Toto se nastavuje v Tomcat Java Options – tato vlastnost poté platí jen pro Tomcat a ne pro celý JVM. Tento soubor se při instalaci modulu ANTem nakopíruje do adresáře Kerberos_Configuration v rootu Tomcatu. Toto nastavení se provede pomocí následující konstrukce:

3. Zabezpečení back-end (workplace) OpenCms

4. Instalace změněných souborů na systém OpenCms

5. Nastavení filtru v <opencmsroot>/WEB-INF/web.xml

6. Nastavení cesty k LoginConfigurationFile

7. Spusťte Tomcat.

8. Instalace welcome modulu do OpenCms

9. Restartujte Tomcat.

10. Funkce by měly být k dispozici.

1. Zastavte Tomcat.

2. Nastavení zabezpečeného přístupu https v souboru <CATALINA_HOME>/conf/server.xml pro Tomcat. Viz. http://tomcat.apache.org/tomcat-5.5-doc/ssl-howto.html

K instalaci slouží ANT-soubor. Před jeho spuštěním je potřeba vzít na vědomí následující věci:

• Aby bylo možné tyto změny kdykoliv vrátit a uvést tak systém do původního stavu, obsahuje ANT-soubor také cíl resetChanges. Při instalaci se totiž vytvoří záloha původního souboru opencms.jar. Místo kam se tento soubor uloží, je možné nastavit pomocí property backupDir implicitně se tento adresář jmenuje Backup. Pomocí cíle resetChanges se tedy tento původní soubor může vrátit na Tomcat a vymazat tak změny provedené v OpenCms.

Toto se nastavuje v Tomcat Java Options – tato vlastnost poté platí jen pro Tomcat a ne pro celý JVM. Tento soubor se při instalaci modulu ANTem? nakopíruje do adresáře Kerberos_Configuration v rootu Tomcatu. Toto nastavení se provede pomocí následující konstrukce:

Dalším krokem je nastavení cesty k souboru, který obsahuje parametry protokolu Kerberos 5. Tento soubor by se na všech počítačích používaných v prostředí ZČU již měl nacházet na správném místě (kde jej Java standardně vyhledává). Na linuxových strojích se tento soubor jmenuje krb5.conf a je v adresáři /etc, na windows se tento soubor jmenuje krb5.ini a měl by být v adresáři c:\winnt. Pokud se tento soubor nevyskytuje na jednom z těchto míst, existují další, kde jej Java hledá – viz dokumentace v JAAS.

1. Zastavte Tomcat.

3. Zabezpečení back-end (workplace) OpenCms

4. Instalace změněných souborů na systém OpenCms

5. Nastavení filtru v <opencmsroot>/WEB-INF/web.xml

6. Nastavení cesty k LoginConfigurationFile

7. Spusťte Tomcat.

9. Restartujte Tomcat.

10. Funkce by měly být k dispozici.

Doporučení: Všechny front-end edit stránky přes HTTPS protože v tom případě se validují i POST požadavky.

Jak získat v mé šabloně "zabezpečenou" login screen: úplně stejně jako v org.opencms.welcome.template.*.jsp - náš modul si vše zařídí sám

Archív s instalačními soubory:\\

val-url – url validační stránky, která je součástí welcome modulu

Filter je mapován na všechny stránky.

Toto se nastavuje v Tomcat Java Options – tato vlastnost poté platí jen pro Tomcat a ne pro celý JVM. Tento soubor se při instalaci modulu antem nakopíruje do adresáře Kerberos_Configuration v rootu Tomcatu. Toto nastavení se provede pomocí následující konstrukce:

2. Nastavení zabezpečeného přístupu https v souboru <CATALINA_HOME>/conf/server.xml pro Tomcat. Viz. http://tomcat.apache.org/tomcat-5.5-doc/ssl-howto.html

V souboru <opencmsroot>/WEB-INF/config/opencms-system.xml, nastavíme:\\

5. Nastavení filtru v <opencmsroot>/WEB-INF/web.xml\\

timeout – čas po kterém bude při requestu vyvolána validační smyčka
val-url – url validační stránky, která je součástí welcome modulu

<filter>

val-url – url validační stránky, která je součástí welcome modulu
Filter je namapován na všechny stránky.

V souboru <opencmsroot>/WEB-INF/config/opencms-system.xml, nastavíme:\\

<default-uri>/sites/default/</default-uri>

</sites>

-Djava.security.auth.login.config=CESTA_K_KerbNastaveni.conf

-Djava.security.krb5.conf=CESTA_K_SOUBORU_KRB5.CONF

• naimportovat modul org.opencms.welcome_4.2.5.zip
• zpět do Explorer view, jít do system/modules/org.opencms.welcome/elements/
• v login_element.jsp upravit odkaz na login_module_secure.jsp ve formuláři, viz. řádky s TODO komentářem
• upravit url v login_element_secure.jsp pro přechod na zabezpečené url (na sebe sama při nezabezpečeném přístupu), viz. TODO komentář

<sites>

</sites>''

• KerbNastaveni.conf

6. Nastavení cesty k LoginConfigurationFile.\\

• cz.zcu.kiv.opencms
• authentication.jar

• opencms.jar

K instalaci slouží ant-soubor. Před jeho spuštěním je potřeba vzít na vědomí následující věci:

• Aby bylo možné tyto změny kdykoliv vrátit a uvést tak systém do původního stavu, obsahuje ant-soubor také cíl resetChanges. Při instalaci se totiž vytvoří záloha původního souboru opencms.jar. Místo kam se tento soubor uloží, je možné nastavit pomocí property backupDir implicitně se tento adresář jmenuje Backup. Pomocí cíle resetChanges se tedy tento původní soubor může vrátit na Tomcat a vymazat tak změny provedené v OpenCms.

->;ant -buildfile installToOpenCms.xml

*cz.zcu.kiv.opencms *authentication.jar

*opencms.jar

c) V instalačním adresáři Tomcatu se vytvoří adresář Kerberos_Configuration, do kterého se nakopírují soubory potřebné pro správnou funkčnost autentizace protokolem Kerberos:

• krb5.conf
• KerbNastaveni?.conf

Do tagu <web-app> přidáme:\\

https://SERVER_NAME1:SECURE_PORT/opencms/opencms/system/modules/org.opencms.welcome/elements/login_element_secure.jsp\

timeout – čas po kterém bude při requestu vyvolána validační smyčka
>val-url – url validační stránky, která je součástí welcome modulu

6. Nastavení cesty k LoginConfigurationFile?.
Toto se nastavuje v Tomcat Java Options – tato vlastnost poté platí jen pro Tomcat a ne pro celý JVM. Tento soubor se při instalaci modulu antem nakopíruje do adresáře _Kerberos_Configuration_ v rootu Tomcatu. Toto nastavení se provede pomocí následující konstrukce:

-Djava.security.auth.login.config=CESTA_K_KerbNastaveni.conf

Dalším krokem je nastavení cesty k souboru, který obsahuje parametry protokolu Kerberos 5. Tento soubor by se na všech počítačích používaných v prostředí ZČU již měl nacházet na správném místě (kde jej Java standardně vyhledává). Na linuxových strojích se tento soubor jmenuje krb5.conf a je v adresáři /etc, na windows se tento soubor jmenuje krb5.ini a měl by být v adresáři c:\winnt. Pokud se tento soubor nevyskytuje na jednom z těchto míst, existují další, kde jej java hledá – viz dokumentace v JAAS.

-Djava.security.krb5.conf=CESTA_K_SOUBORU_KRB5.CONF

• naimportovat modul org.opencms.welcome_4.2.5.zip

• v login_element.jsp upravit odkaz na login_module_secure.jsp ve formuláři, viz. řádka s TODO komentářem

2. Nastavení zabezpečeného přístupu https v souboru <CATALINA_HOME>/conf/server.xml pro Tomcat. Viz. http://tomcat.apache.org/tomcat-5.5-doc/ssl-howto.html

V souboru <OPENCMSROOT>/WEB-INF/config/opencms-system.xml, nastavíme:\\

Tag <secure> v daném tvaru je třeba jen u definice <site>, která má server shodný s <workplace-server>.

Otazník: jak u multisite?

V souboru <OPENCMSROOT>/WEB-INF/config/opencms-system.xml, nastavíme:\\

2. Nastavení zabezpečeného přístupu https v souboru <CATALINA_HOME>/conf/server.xml pro Tomcat. Viz. http://tomcat.apache.org/tomcat-5.5-doc/ssl-howto.html

V souboru <OPENCMSROOT>/WEB-INF/config/opencms-system.xml, nastavíme:\\

1. Zastavte Tomcat

2. Nastavení zabezpečeného přístupu https v souboru _<CATALINA_HOME>/conf/server.xml_ pro Tomcat. Viz. http://tomcat.apache.org/tomcat-5.5-doc/ssl-howto.html

3. Zabezpečení back-end (workplace) OpenCms\\

4. Instalace změněných souborů na systém OpenCms.

5. Nastavení filtru v <opencmsroot>/WEB-INF/web.xml\\

6. Nastavení cesty k LoginConfigurationFile.\\

7. Nyní můžete Tomcat opět spustit

8. Instalace welcome modulu do OpenCms

9. Proveďte restart Tomcatu

10. Nyní by již měly všechny nové funkce být k dispozici.

LoginModuleInstall.zip

a) Do OpenCms se nakopírují následující soubory:

https://SERVER_NAME1:SECURE_PORT/opencms/opencms/system/modules/org.opencms.welcome/elements/login_element_secure.jsp\

-Djava.security.auth.login.config=CESTA_K_KerbNastaveni.conf

a provede automaticky následující kroky:

a) -<Do OpenCms se nakopírují následující soubory:

b) Změní se soubor:

c) V instalačním adresáři Tomcatu se vytvoří adresář Kerberos_Configuration, do kterého se nakopírují soubory potřebné pro správnou funkčnost autentizace protokolem Kerberos:

Dalším krokem je nastavení cesty k souboru, který obsahuje parametry protokolu Kerberos 5. Tento soubor by se na všech počítačích používaných v prostředí ZČU již měl nacházet na správném místě (kde jej Java standardně vyhledává). Na linuxových strojích se tento soubor jmenuje krb5.conf a je v adresáři /etc, na windows se tento soubor jmenuje krb5.ini a měl by být v adresáři c:\winnt. Pokud se tento soubor nevyskytuje na jednom z těchto míst, existují další, kde jej java hledá – viz dokumentace v JAAS.

Otazník: jak u multisite?

jak získat v mé šabloně "zabezpečenou" login screen: úplně stejně jako v org.opencms.welcome.template.*.jsp - náš modul si to vše zařídí sám

Archiv s instalačními soubory:
Attach:LoginModulInstall.zip

9.Proveďte restart Tomcatu

4.Instalace změněných souborů na systém OpenCms.

1.Zastavte Tomcat

2.Nastavení zabezpečeného přístupu https v souboru <CATALINA_HOME>/conf/server.xml pro Tomcat. Viz. http://tomcat.apache.org/tomcat-5.5-doc/ssl-howto.html

3.Zabezpečení back-end (workplace) OpenCms\\

4.Instalace změněných souborů na systém OpenCms.\\

5.Nastavení filtru v <opencmsroot>/WEB-INF/web.xml\\

6.Nastavení cesty k LoginConfigurationFile.\\

7.Nyní můžete Tomcat opět spustit

8.Instalace welcome modulu do OpenCms

9.Proveďte restart Tomcatu
10.Nyní by již měly všechny nové funkce být k dispozici.

• 1.*Zastavte Tomcat
• 2.*Nastavení zabezpečeného přístupu https v souboru <CATALINA_HOME>/conf/server.xml pro Tomcat. Viz. http://tomcat.apache.org/tomcat-5.5-doc/ssl-howto.html
• 3.*Zabezpečení back-end (workplace) OpenCms\\

• 4.*Instalace změněných souborů na systém OpenCms.\\

• 5.*Nastavení filtru v <opencmsroot>/WEB-INF/web.xml\\

• 6.*Nastavení cesty k LoginConfigurationFile.\\

• 7.*Nyní můžete Tomcat opět spustit
• 8.*Instalace welcome modulu do OpenCms

• 9.*Proveďte restart Tomcatu
  *10.*Nyní by již měly všechny nové funkce být k dispozici.

6.Nastavení cesty k LoginConfigurationFile.\\

-Djava.security.auth.login.config=CESTA_K_LCF

Pro Linux se toto provede pomocí doplnění hodnoty proměnné CATALINA_OPTS v souboru /etc/environment. Pro změnu tohoto souboru musíte mít root práva.

Dalším krokem je nastavení cesty k souboru, který obsahuje parametry protokolu Kerberos 5. Tento soubor by se na všech počítačích používaných v prostředí ZČU již měl nacházet na správném místě (kde jej Java standardně vyhledává). Na linuxových strojích se tento soubor jmenuje krb5.conf a je v adresáři /etc, na windows se tento soubor jmenuje krb5.ini a měl by být v adresáři c:\winnt. Pokud se tento soubor nevyskytuje na jednom z těchto míst, existují další, kde jej java hledá – viz. dokumentace v JAAS.

Eventuelně je možné cestu k tomuto souboru nastavit pomocí parametru:

-Djava.security.krb5.conf=CESTA_K_SOUBORU_KRB5.CONF

Tento soubor se při instalaci nakopíruje do adresáře Kerberos_Configuration v instalačním adresáři Tomcatu (stejně jako Login Configuration File).

https://SERVER_NAME:SECURE_PORT/opencms/opencms/system/modules/org.opencms.welcome/elements/login_element_secure.jsp\

timeout – čas po kterém bude při requestu vyvolána validační smyčka\\

<param-name>timeout</param-name>\\

</init-param>\\

<param-name>val-url</param-name>\\

K instalaci slouží ant-soubor. Před jeho spuštěním je potřeba vzít na vědomí následující věci:

Instalace se spustí příkazem:

• KerbNastaveni.conf

Do tagu <web-app> přidáme:\\

<filter-class>cz.zcu.kiv.opencms.ValidateAuthFilter</filter-class> <init-param>

<param-name>timeout</param-name>

<param-value>15000</param-value>

</init-param>

<init-param>

<param-name>val-url</param-name>

<param-value>https://SERVER_NAME:SECURE_PORT/opencms/opencms/system/modules/org.opencms.welcome/elements/login_element_secure.jsp</param-value>

</init-param>

<filter-mapping>

• Aby bylo možné tyto změny kdykoliv vrátit a uvést tak systém do původního stavu, obsahuje ant-soubor také cíl resetChanges. Při instalaci se totiž vytvoří záloha původního souboru opencms.jar. Místo kam se tento soubor uloží, je možné nastavit pomocí property backupDir implicitně se tento adresář jmenuje Backup. Pomocí cíle resetChanges se tedy tento původní soubor může vrátit na Tomcat a vymazat tak změny provedené v OpenCms.

Instalace se spustí příkazem:
ant installToOpenCms.xml
Do OpenCmsse nakopírují následující soubory:

Změní se soubor:

V instalačním adresáři Tomcatu se vytvoří adresář Kerberos_Configuration, do kterého se nakopírují soubory potřebné pro správnou funkčnost autentizace protokolem Kerberos:

8.Instalace welcome modulu do OpenCms

1.Zastavte Tomcat

2.Nastavení zabezpečeného přístupu https v souboru <CATALINA_HOME>/conf/server.xml pro Tomcat. Viz. http://tomcat.apache.org/tomcat-5.5-doc/ssl-howto.html

7.Nyní můžete Tomcat opět spustit

10.Nyní by již měly všechny nové funkce být k dispozici.

1.Zastavte Tomcat\\ 2.Nastavení zabezpečeného přístupu https v souboru <CATALINA_HOME>/conf/server.xml pro Tomcat. Viz. http://tomcat.apache.org/tomcat-5.5-doc/ssl-howto.html
3.Zabezpečení back-end (workplace) OpenCms\\

4.Instalace změněných souborů na systém OpenCms.\\

5.Nastavení filtru v <opencmsroot>/WEB-INF/web.xml\\

6.Nastavení cesty k LoginConfigurationFile?.
Toto se nastavuje v Tomcat Java Options – tato vlastnost poté platí jen pro Tomcat a ne pro celý JVM. Tento soubor se při instalaci modulu antem nakopíruje do adresáře Kerberos_Configuration v rootu Tomcatu. Toto nastavení se provede pomocí následující konstrukce:

7.Nyní můžete Tomcat opět spustit
8.Instalace welcome modulu do OpenCms\\

9.Proveďte restart Tomcatu
10.Nyní by již měly všechny nové funkce být k dispozici.

1. Zastavte Tomcat
2. Nastavení zabezpečeného přístupu https v souboru <CATALINA_HOME>/conf/server.xml pro Tomcat. Viz. http://tomcat.apache.org/tomcat-5.5-doc/ssl-howto.html
3. Zabezpečení back-end (workplace) OpenCms

1. Instalace změněných souborů na systém OpenCms.

• cz.zcu.kiv.opencms
• authentication.jar

• opencms.jar

• krb5.conf
• KerbNastaveni?.conf

1. Nastavení filtru v <opencmsroot>/WEB-INF/web.xml

1. Nastavení cesty k LoginConfigurationFile?. Toto se nastavuje v Tomcat Java Options – tato vlastnost poté platí jen pro Tomcat a ne pro celý JVM. Tento soubor se při instalaci modulu antem nakopíruje do adresáře Kerberos_Configuration v rootu Tomcatu. Toto nastavení se provede pomocí následující konstrukce:

1. Nyní můžete Tomcat opět spustit

• přihlášení na back-end (workplace), přejít do Admin view
• naimportovat modul org.opencms.welcome_4.2.6.zip
• zpět do Explorer modu, jít do system/modules/org.opencms.welcome/elements/
• v login_element.jsp upravit odkaz na login_module_secure.jsp ve formuláři, viz. řádka s TODO komentářem
• Upravit url v login_element_secure.jsp pro přechod na zabezpečené url (na sebe sama při nezabezpečeném přístupu), viz. TODO komentář

1. Proveďte restart Tomcatu
2. Nyní by již měly všechny nové funkce být k dispozici.

1. .Zastavte Tomcat
2. .Nastavení zabezpečeného přístupu https v souboru <CATALINA_HOME>/conf/server.xml pro Tomcat. Viz. http://tomcat.apache.org/tomcat-5.5-doc/ssl-howto.html
3. .Zabezpečení back-end (workplace) OpenCms

1. .Instalace změněných souborů na systém OpenCms.

1. .Nastavení filtru v <opencmsroot>/WEB-INF/web.xml

1. .Nastavení cesty k LoginConfigurationFile?. Toto se nastavuje v Tomcat Java Options – tato vlastnost poté platí jen pro Tomcat a ne pro celý JVM. Tento soubor se při instalaci modulu antem nakopíruje do adresáře Kerberos_Configuration v rootu Tomcatu. Toto nastavení se provede pomocí následující konstrukce:

1. .Nyní můžete Tomcat opět spustit

1. .Proveďte restart Tomcatu
2. .Nyní by již měly všechny nové funkce být k dispozici.

1.Zastavte Tomcat 2.Nastavení zabezpečeného přístupu https v souboru <CATALINA_HOME>/conf/server.xml pro Tomcat. Viz. http://tomcat.apache.org/tomcat-5.5-doc/ssl-howto.html 3.Zabezpečení back-end (workplace) OpenCms

4.Instalace změněných souborů na systém OpenCms.

5.Nastavení filtru v <opencmsroot>/WEB-INF/web.xml

6.Nastavení cesty k LoginConfigurationFile?. Toto se nastavuje v Tomcat Java Options – tato vlastnost poté platí jen pro Tomcat a ne pro celý JVM. Tento soubor se při instalaci modulu antem nakopíruje do adresáře Kerberos_Configuration v rootu Tomcatu. Toto nastavení se provede pomocí následující konstrukce:

7.Nyní můžete Tomcat opět spustit

8.Proveďte restart Tomcatu

9.Nyní by již měly všechny nové funkce být k dispozici.

K instalaci slouží ant soubor. Před jeho spuštěním je potřeba vzít na vědomí následující věci:
*Spuštěním tohoto souboru dojde k přepsání některých tříd v instalaci OpenCms.

• Aby bylo možné tyto změny kdykoliv vrátit a uvést tak systém do původního stavu, obsahuje ant soubor také cíl resetChanges. Při instalaci se totiž vytvoří záloha původního souboru opencms.jar. Místo kam se tento soubor uloží, je možné nastavit pomocí property backupDir implicitně se tento adresář jmenuje Backup. Pomocí cíle resetChanges se tedy tento původní soubor může vrátit na Tomcat a vymazat tak změny provedené v OpenCms.

Do OpenCmsse nakopírují následující soubory:
•cz.zcu.kiv.opencms •authentication.jar Změní se soubor:
•opencms.jar

V instalačním adresáři Tomcatu se vytvoří adresář Kerberos_Configuration, do kterého se nakopírují soubory potřebné pro správnou funkčnost autentizace protokolem Kerberos:
•krb5.conf •KerbNastaveni?.conf

</site>

1. Instalace změněných souborů na systém OpenCms.

1. Nastavení filtru v <opencmsroot>/WEB-INF/web.xml

1. Nastavení cesty k LoginConfigurationFile?. Toto se nastavuje v Tomcat Java Options – tato vlastnost poté platí jen pro Tomcat a ne pro celý JVM. Tento soubor se při instalaci modulu antem nakopíruje do adresáře Kerberos_Configuration v rootu Tomcatu. Toto nastavení se provede pomocí následující konstrukce:

1. Nyní můžete Tomcat opět spustit
2. Instalace welcome modulu do OpenCms

1. Proveďte restart Tomcatu
2. Nyní by již měly všechny nové funkce být k dispozici.

V souboru <OPENCMSROOT>/WEB-INF/config/opencms-system.xml, nastavíme:\\

Instalace modulů zajišťujících zabezpečení přihlášení a práce v systému OpenCms

V tomto návodu se předpokládá, že systém OpenCms je nainstalován ve standardním adresáři opencms.

Instalace modulů zajišťující zabezpečení přihlášení a práce v systému OpenCms

1. Zabezpečení back-end (workplace) OpenCms

4. Instalace změněných souborů na systém OpenCms. K instalaci slouží ant soubor. Před jeho spuštěním je potřeba vzít na vědomí následující věci: Spuštěním tohoto souboru dojde k přepsání některých tříd v instalaci OpenCms. Aby bylo možné tyto změny kdykoliv vrátit a uvést tak systém do původního stavu, obsahuje ant soubor také cíl resetChanges. Při instalaci se totiž vytvoří záloha původního souboru opencms.jar. Místo kam se tento soubor uloží, je možné nastavit pomocí property backupDir implicitně se tento adresář jmenuje Backup. Pomocí cíle resetChanges se tedy tento původní soubor může vrátit na Tomcat a vymazat tak změny provedené v OpenCms.

Do OpenCmsse nakopírují následující soubory:

8. Instalace welcome modulu do OpenCms

Instalace modulů zajišťující zabezpečení přihlášení a práce v systému OpenCms

V tomto návodu se předpokládá, že systém OpenCms je nainstalován ve standardním adresáři openCms.

1. Zastavte Tomcat
2. Nastavení zabezpečeného přístupu https v souboru <CATALINA_HOME>/conf/server.xml pro Tomcat. Viz. http://tomcat.apache.org/tomcat-5.5-doc/ssl-howto.html
3. Zabezpečení back-end (workplace) openCms

V souboru <OPENCMSROOT>/WEB-INF/config/opencms-system.xml, nastavíme: <sites>

</sites>

Tag <secure> v daném tvaru je třeba jen u definice site, která má server shodný s workplace-server.

4. Instalace změněných souborů na systém OpenCms. K instalaci slouží ant soubor. Před jeho spuštěním je potřeba vzít na vědomí následující věci: Spuštěním tohoto souboru dojde k přepsání některých tříd v instalaci OpenCms. Aby bylo možné tyto změny kdykoliv vrátit a uvést tak systém do původního stavu, obsahuje ant soubor také cíl resetChanges. Při instalaci se totiž vytvoří záloha původního souboru opencms.jar. Místo kam se tento soubor uloží, je možné nastavit pomocí property backupDir implicitně se tento adresář jmenuje Backup. Pomocí cíle resetChanges se tedy tento původní soubor může vrátit na Tomcat a vymazat tak změny provedené v OpenCms. Instalace se spustí příkazem:

ant installToOpenCms.xml

Do OpenCms se nakopírují následující soubory: • cz.zcu.kiv.opencms • authentication.jar Změní se soubor: • opencms.jar V instalačním adresáři Tomcatu se vytvoří adresář Kerberos_Configuration, do kterého se nakopírují soubory potřebné pro správnou funkčnost autentizace protokolem Kerberos: • krb5.conf • KerbNastaveni?.conf

5. Nastavení filtru v <opencmsroot>/WEB-INF/web.xml Do tagu <web-app> přidáme:

<filter>

 <filter-name>ValidateAuthFilter?</filter-name>
 <filter-class>cz.zcu.kiv.opencms.ValidateAuthFilter?</filter-class>
 <init-param>
  	<param-name>timeout</param-name>
  	<param-value>15000</param-value>
 </init-param>
 <init-param>
  	<param-name>val-url</param-name>
  	<param-value>

https://SERVER_NAME:SECURE_PORT/opencms/opencms/system/modules/org.opencms.welcome/elements/login_element_secure.jsp </param-value>

 </init-param>

</filter>

<filter-mapping>

 <filter-name>ValidateAuthFilter?</filter-name>
 <url-pattern>/opencms/*</url-pattern>

</filter-mapping>

timeout – čas po kterém bude při requestu vyvolána validační smyčka val-url – url validační stránky, která je součástí welcome modulu

6. Nastavení cesty k LoginConfigurationFile?. Toto se nastavuje v Tomcat Java Options – tato vlastnost poté platí jen pro Tomcat a ne pro celý JVM. Tento soubor se při instalaci modulu antem nakopíruje do adresáře Kerberos_Configuration v rootu Tomcatu. Toto nastavení se provede pomocí následující konstrukce:

 		-Djava.security.auth.login.config=CESTA_K_LCF

Pro Linux se toto provede pomocí doplnění hodnoty proměnné CATALINA_OPTS v souboru /etc/environment. Pro změnu tohoto souboru musíte mít root práva. Dalším krokem je nastavení cesty k souboru, který obsahuje parametry protokolu Kerberos 5. Tento soubor by se na všech počítačích používaných v prostředí ZČU již měl nacházet na správném místě (kde jej Java standardně vyhledává). Na linuxových strojích se tento soubor jmenuje krb5.conf a je v adresáři /etc, na windows se tento soubor jmenuje krb5.ini a měl by být v adresáři c:\winnt. Pokud se tento soubor nevyskytuje na jednom z těchto míst, existují další, kde jej java hledá – viz. dokumentace v JAAS. Eventuelně je možné cestu k tomuto souboru nastavit pomocí parametru:

 	-Djava.security.krb5.conf=CESTA_K_SOUBORU_KRB5.CONF

Tento soubor se při instalaci nakopíruje do adresáře Kerberos_Configuration v instalačním adresáři Tomcatu. (stejně jako Login Configuration File) 7. Nyní můžete Tomcat opět spustit

8. Instalace welcome modulu do OpenCMS • přihlášení na back-end (workplace), přejít do Admin view • naimportovat modul org.opencms.welcome_4.2.6.zip • zpět do Explorer modu, jít do system/modules/org.opencms.welcome/elements/ • v login_element.jsp upravit odkaz na login_module_secure.jsp ve formuláři, viz. řádka s TODO komentářem • Upravit url v login_element_secure.jsp pro přechod na zabezpečené url (na sebe sama při nezabezpečeném přístupu), viz. TODO komentář

9. Proveďte restart Tomcatu

10. Nyní by již měly všechny nové funkce být k dispozici.

Používání modulu

doporučení: všechny front-end edit stránky přes HTTPS protože v tom případě se validují i POST požadavky.

jak získat v mé šabloně "zabezpečenou" login screen: úplně stejně jako v org.opencms.welcome.template.*.jsp - náš modul si to vše zařídí sám

Na návodu se pracuje.

doporučení: všechny front-end edit stránky přes HTTPS protože v tom případě se validují i POST požadavky.

Návod

Na návodu se pracuje.