Uživatelské použití je jednoduché - ModulLogin ve spolupráci s ModulTemplate2008 poskytuje přihlašovací formulář a odkaz pro odhlášení na jakékoli stránce.

Zde je návod na instalaci modulů zajišťujících zabezpečení přihlášení a práce v systému [=OpenCms=].

V tomto návodu se předpokládá, že systém [=OpenCms=] je nainstalován ve standardním adresáři opencms.

!! Jednoduché řešení (nasazení 4/2009)
Platí pro nasazení Apache + Tomcat, kde:

* vynucování HTTPS obstaráva Apache
* Tomcat není schopen rozpoznat HTTP x HTTPS - [@request.isSecure()@] je vždy [@false@]
* nelze použít validační filtr.

Podrobnosti viz ZabezpecenePrihlaseni (Jednoduché řešení).


!!! Instalace
* do [@<opencmsroot>/WEB-INF/lib@] adresáře se přidá [@kerberos-authentication.jar@] (J.Boháč BP 2007) TBD .jar ke stažení
* opatchuje se OpenCms (TBD kde je patch)
* z plné varianty popsané níže se použijí pouze kroky 6 a 7

* nastaví se zabezpečení následujících přihlašovacích stránek (udělá se v cfg Apache):
** /opencms/system/login
** umístění [@login_element_secure.jsp@] resp. frontendové stránky, do které je vkládán
* pokud se používá v šabloně login_element.jsp (tlačítko "přihlásit se" - nikoli odkaz), nastaví se v login_element.jsp pro přihlášení form action odkaz na [@login_element_secure.jsp@] resp stránku na které je vkládán

(Prostě: pouze na zabezpečené stránce může být login formulář, který je v @@elements/secure-login-form.jsp@@ .)

Archív s instalačními soubory: [[Attach:login_forms.zip|login fomuláře]].

!!! Poznámky k implementaci

* V přihlašovacím formuláři @@secure-login-form.jsp@@ je třeba nastavit @@final String SITE_URI@@ na správnou hodnotu podle webu, na kterém je přihlašování nasazeno (např. @@= "http://beta.kiv.zcu.cz";@@).

----

!! Kompletní řešení

'''[+1.+] '''Zastavte Tomcat.

'''[+2.+] '''Nastavení zabezpečeného přístupu https v souboru [@<CATALINA_HOME>/conf/server.xml@] pro Tomcat. Viz. [[http://tomcat.apache.org/tomcat-5.5-doc/ssl-howto.html]]

'''[+3.+] '''Zabezpečení back-end (workplace) [=OpenCms=]

{-V souboru <opencmsroot>/WEB-INF/config/opencms-system.xml, nastavíme: -}

[@<sites>
<workplace-server>https://server_name1:secure_port</workplace-server>
<default-uri>/sites/default/</default-uri>
<site server="http://server_name1:unsecure_port" uri="/sites/default/">
<secure server="https://server_name1:secure_port" exclusive="true" error="false" />
</site>
</sites>@]


{-Tag ''<secure>'' v daném tvaru je třeba jen u definice ''<site>'', která má server shodný s ''<workplace-server>''.-}

*NALEZEN PROBLÉM*: divné chování workplace cms po výše uvedeném nastavení

'''Použít toto řešení:'''

Do ''<opencmsroot>/WEB-INF/web.xml''

[@<security-constraint>
<web-resource-collection>
<web-resource-name>SecureWorkplace</web-resource-name>
<url-pattern>/opencms/system/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>@]

*Otazník*: jak u multisite?

'''[+4.+] '''Instalace změněných souborů na systém [=OpenCms=]

K instalaci slouží _ANT-soubor_. Před jeho spuštěním je potřeba vzít na vědomí následující věci:
* Spuštěním tohoto souboru dojde k přepsání některých tříd v instalaci [=OpenCms=].
* Aby bylo možné tyto změny kdykoliv vrátit a uvést tak systém do původního stavu, obsahuje _ANT-soubor_ také cíl [@resetChanges@]. Při instalaci se totiž vytvoří záloha původního souboru [@opencms.jar@]. Místo kam se tento soubor uloží, je možné nastavit pomocí property [@backupDir@] implicitně se tento adresář jmenuje [@Backup@]. Pomocí cíle [@resetChanges@] se tedy tento původní soubor může vrátit na Tomcat a vymazat tak změny provedené v [=OpenCms=].

Instalace se spustí příkazem:
->[@ant -buildfile installToOpenCms.xml@]

a provede automaticky následující kroky:

a) Do [=OpenCms=] se nakopírují následující soubory:
* [@cz.zcu.kiv.opencms@]
* [@authentication.jar@]

b) Změní se soubor:
* [@opencms.jar@]

c) V instalačním adresáři Tomcatu se vytvoří adresář [@Kerberos_Configuration@], do kterého se nakopírují soubory potřebné pro správnou funkčnost autentizace protokolem Kerberos:
* [@krb5.conf@]
* [@KerbNastaveni.conf@]

'''[+5.+] '''Nastavení filtru v [@<opencmsroot>/WEB-INF/web.xml@]

Do tagu [@<web-app>@] přidáme:

[@<filter>
<filter-name>[=ValidateAuthFilter=]</filter-name>
<filter-class>cz.zcu.kiv.opencms.ValidateAuthFilter</filter-class>
<init-param>
<param-name>timeout</param-name>
<param-value>15000</param-value>
</init-param>
<init-param>
<param-name>val-url</param-name>
<param-value>https://server_name1:secure_port/opencms/opencms/system/modules/org.opencms.welcome/elements/login_element_secure.jsp</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>ValidateAuthFilter</filter-name>
<url-pattern>/opencms/*</url-pattern>
</filter-mapping>@]

[@server_name1:secure_port@] - jméno serveru s portem HTTPS

[@timeout@] – čas po kterém bude při requestu vyvolána validační smyčka\\
[@val-url@] – url validační stránky, která je součástí welcome modulu

Filter je mapován na všechny stránky.

'''[+6.+] '''Nastavení cesty k [@LoginConfigurationFile@]

Tento file říká Javě, že si má pro autentikaci používat Kerberos (příslušné třídy v [@com.sun.security.auth.module.Krb5LoginModule@]). Cesta k němu se nastavuje v Tomcat Java Options – tato vlastnost poté platí jen pro Tomcat a ne pro celý JVM.

Soubor se při instalaci modulu [=ANTem=] nakopíruje do adresáře [@Kerberos_Configuration@] v rootu Tomcatu.

Nastavení cesty se provede pomocí následující konstrukce:
[@-Djava.security.auth.login.config=CESTA_K_KerbNastaveni.conf@]
Pro Linux se toto provede pomocí doplnění hodnoty proměnné [@CATALINA_OPTS@] v souboru [@/etc/environment@], nebo přímo ve spouštěcím scriptu tomcatu ([@/etc/init.d/tomcat@]). Pro změnu těchto souborů musíte mít root práva.

Dalším krokem je nastavení cesty k souboru, který obsahuje parametry protokolu Kerberos 5. Tento soubor by se na všech počítačích používaných v prostředí ZČU již měl nacházet na správném místě (kde jej Java standardně vyhledává). Na linuxových strojích se tento soubor jmenuje [@krb5.conf@] a je v adresáři [@/etc@], na windows se tento soubor jmenuje [@krb5.ini@] a měl by být v adresáři [@c:\winnt@]. Pokud se tento soubor nevyskytuje na jednom z těchto míst, existují další, kde jej Java hledá – viz dokumentace v JAAS.

Eventuelně (stalo se nám s Javou 6 která se neuměla domluvit s kerberem na použitém šifrování - výjimka [@BadEncryptionType@]) je možné cestu k tomuto souboru nastavit pomocí parametru:
[@-Djava.security.krb5.conf=CESTA_K_SOUBORU_KRB5.CONF@]
Tento soubor se při instalaci nakopíruje do adresáře [@Kerberos_Configuration@] v instalačním adresáři Tomcatu (stejně jako Login Configuration File).

'''[+7.+] '''Spusťte Tomcat.

'''[+8.+] '''Instalace welcome modulu do [=OpenCms=]

* přihlášení na back-end (workplace), přejít do Admin view
* naimportovat modul [@org.opencms.welcome_4.2.5.zip@]
* zpět do Explorer view, jít do [@system/modules/org.opencms.welcome/elements/@]
* v [@login_element.jsp@] upravit odkaz na [@login_module_secure.jsp@] ve formuláři a javascriptu, viz. řádky s TODO komentářem
* upravit url v [@login_element_secure.jsp@] pro přechod na zabezpečené url (na sebe sama při nezabezpečeném přístupu), viz. TODO komentář

'''[+9.+] '''Restartujte Tomcat.

'''[+10.+] '''Funkce by měly být k dispozici.

'''[+11.+] '''Pokud se objevuje stále starý modul (tzn. na nezabezpečené stránce je formulář pro přihlašovací údaje), je třeba vymazat adresář [@org.opencms.welcome@] v [@<opencmsroot>/WEB-INF/jsp/online/system/modules/@]

'''[+12.+] '''Restartujte Tomcat.

!!! Používání modulu

Doporučení: Všechny front-end edit stránky přes HTTPS protože v tom případě se validují i POST požadavky.

Jak získat v mé šabloně "zabezpečenou" login screen: úplně stejně jako v [@org.opencms.welcome.template.*.jsp@] - náš modul si vše zařídí sám


Archív s instalačními soubory:\\
[[Attach:JarInstallFile_complete.zip|kompletní řešení]]

(:title Instalace přihlašovacího modulu:)

Návod na instalaci modulů zajišťujících zabezpečení přihlášení a práce v systému [=OpenCms=].

* V přihlašovacím formuláři @@secure-login-form.jsp@@ je třeba nastavit @final String SITE_URI@ na správnou hodnotu podle webu, na kterém je přihlašování nasazeno (např. @@= "http://beta.kiv.zcu.cz";@@).

(Prostě: pouze na zabezpečené stránce může být login formulář, který je v @elements/secure-login-form.jsp@ .)

* V přihlašovacím formuláři @secure-login-form.jsp@ je třeba nastavit @final String SITE_URI@ na správnou hodnotu podle webu, na kterém je přihlašování nasazeno (např. @= "http://beta.kiv.zcu.cz";@).

Bude umět - viz ZabezpecenePrihlaseni (Jednoduché řešení).


!!!Instalace

(Prostě: pouze na zabezpečené stránce může být login formulář, který je v login_element_secure.jsp .)

* nastaví se zabezpečení přihlašovacích stránek (Apache):

** umístění [@login_element_secure.jsp@]
* do login_element.jsp, který přijde do template, se nastaví odkaz na [@login_element_secure.jsp@]


Jak získat v mé šabloně "zabezpečenou" login screen: úplně stejně jako v [@org.opencms.welcome.template.*.jsp@] - náš modul si vše zařídí sám

Archív s instalačními soubory:\\
[[Attach:login_forms.zip|login fomuláře]]

* z plné varianty použijí pouze kroky 6 a 7

* do [@<opencmsroot>/WEB-INF/lib@] adresáře se přidá [@kerberos-authentication.jar@] (J.Boháč BP 2007)

* do [@%opencms%/web-inf/lib@] adresáře se přidá [@kerberos-authentication.jar@] (Boháč BP)

** /system/login

'''[+2.+] '''Nastavení zabezpečeného přístupu https v souboru ''<CATALINA_HOME>/conf/server.xml'' pro Tomcat. Viz. [[http://tomcat.apache.org/tomcat-5.5-doc/ssl-howto.html]]

*Spuštěním tohoto souboru dojde k přepsání některých tříd v instalaci [=OpenCms=].
*Aby bylo možné tyto změny kdykoliv vrátit a uvést tak systém do původního stavu, obsahuje _ANT-soubor_ také cíl _resetChanges_. Při instalaci se totiž vytvoří záloha původního souboru _opencms.jar_. Místo kam se tento soubor uloží, je možné nastavit pomocí property _backupDir_ implicitně se tento adresář jmenuje _Backup_. Pomocí cíle _resetChanges_ se tedy tento původní soubor může vrátit na Tomcat a vymazat tak změny provedené v [=OpenCms=].

'''[+6.+] '''Nastavení cesty k ''[=LoginConfigurationFile=]''

Tento file říká Javě, že si má pro autentikaci používat Kerberos (příslušné třídy v @@com.sun.security.auth.module.Krb5LoginModule@@). Cesta k němu se nastavuje v Tomcat Java Options – tato vlastnost poté platí jen pro Tomcat a ne pro celý JVM.

Soubor se při instalaci modulu [=ANTem=] nakopíruje do adresáře ''Kerberos_Configuration'' v rootu Tomcatu.

-->''-Djava.security.auth.login.config=CESTA_K_KerbNastaveni.conf''
-<Pro Linux se toto provede pomocí doplnění hodnoty proměnné ''CATALINA_OPTS'' v souboru ''/etc/environment'', nebo přímo ve spouštěcím scriptu tomcatu (@@/etc/init.d/tomcat@@). Pro změnu těchto souborů musíte mít root práva.

Dalším krokem je nastavení cesty k souboru, který obsahuje parametry protokolu Kerberos 5. Tento soubor by se na všech počítačích používaných v prostředí ZČU již měl nacházet na správném místě (kde jej Java standardně vyhledává). Na linuxových strojích se tento soubor jmenuje _krb5.conf_ a je v adresáři _/etc_, na windows se tento soubor jmenuje _krb5.ini_ a měl by být v adresáři _c:\winnt_. Pokud se tento soubor nevyskytuje na jednom z těchto míst, existují další, kde jej Java hledá – viz dokumentace v JAAS.

Eventuelně (stalo se nám s Javou 6 která se neuměla domluvit s kerberem na použitém šifrování - výjimka @@BadEncryptionType@@) je možné cestu k tomuto souboru nastavit pomocí parametru:
-->''-Djava.security.krb5.conf=CESTA_K_SOUBORU_KRB5.CONF''
-<Tento soubor se při instalaci nakopíruje do adresáře Kerberos_Configuration v instalačním adresáři Tomcatu (stejně jako Login Configuration File).

*přihlášení na back-end (workplace), přejít do Admin view
*naimportovat modul ''org.opencms.welcome_4.2.5.zip''
*zpět do Explorer view, jít do ''system/modules/org.opencms.welcome/elements/''
*v ''login_element.jsp'' upravit odkaz na ''login_module_secure.jsp'' ve formuláři a javascriptu, viz. řádky s TODO komentářem
*upravit url v ''login_element_secure.jsp'' pro přechod na zabezpečené url (na sebe sama při nezabezpečeném přístupu), viz. TODO komentář

'''[+11.+] '''Pokud se objevuje stále starý modul (tzn. na nezabezpečené stránce je formulář pro přihlašovací údaje), je třeba vymazat adresář ''org.opencms.welcome'' v ''<opencmsroot>/WEB-INF/jsp/online/system/modules/''

Jak získat v mé šabloně "zabezpečenou" login screen: úplně stejně jako v org.opencms.welcome.template.*.jsp - náš modul si vše zařídí sám

[[http://home.zcu.cz/~jpavuk/opencms/distr/JarInstallFile.zip | login fomuláře]]

[[http://home.zcu.cz/~jpavuk/opencms/distr/JarInstallFile.zip | kompletní řešení]]

* nastaví se zabezpečení přihlašovacích stránek

** umístění login_element_secure.jsp
* do login_element.jsp, který přijde do template, se nastaví url na login_element_secure.jsp

!! Jednoduchá varianta (nasazení 4/2009)

= pouze https na login page a autentikace proti krb, bez vychytávek s ochranou session.

Udělá se tak, že se
* do opencms lib adresáře přidá @@kerberos-authentication.jar@@

* z plné varianty použijí pouze kroky 6 a 7.

neni třeba řešit - apache jede na ssl a tomcatu to přeposílá interně bez ssl => tomcat nepotřebuje https

TODO - zabezpeceni stranek atd.

!!!Poznámky k nasazení Apache + Tomcat

*vynucování https obstaráva Apache - bod 3 není třeba
*Tomcat není schopen rozpoznat https - ''request.isSecure()'' je vždy ''false''
*lze použít validační filtr (pouze kontrola secure token) na URL, o kterých víme, že jsou na https
*stávající mechanismus vytváření validační smyčky při http přístupu je obtížné realizovat

!!! Návod na dočasné řešení

'''[+2.+] '''Nastavení portů http, https v [=CmsLogin.java=]. Kompilace souboru a vložení do instalačního balíku.

'''[+3.+] '''Instalace dle bodů 4 a 6 uvedených výše.

'''[+4.+] '''Zakázání autentikace pomocí okna prohlížeče.

V souboru ''<opencmsroot>/WEB-INF/config/opencms-system.xml'', nastavíme:\\

''<http-authentication>''
->''<browser-based>false</browser-based>''
->''<form-based>/system/login/index.html</form-based>''
''</http-authentication>''

'''[+5.+] '''Spusťe Tomcat.






----
!! Plná varianta

'''[+1.+] '''Zastavte Tomcat.

!! Plná varianta

<param-value>https://@]\'''server_name1:secure_port'''\[@/opencms/opencms/system/modules/org.opencms.welcome/elements/login_element_secure.jsp</param-value>

!!! Návod na dočasné řešení

'''[+1.+] '''Zastavte Tomcat.

'''[+2.+] '''Nastavení portů http, https v [=CmsLogin.java=]. Kompilace souboru a vložení do instalačního balíku.

'''[+3.+] '''Instalace dle bodů 4 a 6 uvedených výše.

'''[+4.+] '''Zakázání autentikace pomocí okna prohlížeče.

V souboru ''<opencmsroot>/WEB-INF/config/opencms-system.xml'', nastavíme:\\

''<http-authentication>''
->''<browser-based>false</browser-based>''
->''<form-based>/system/login/index.html</form-based>''
''</http-authentication>''

'''[+5.+] '''Spusťe Tomcat.

<param-value>https://@]'''server_name1:secure_port'''[@/opencms/opencms/system/modules/org.opencms.welcome/elements/login_element_secure.jsp</param-value>

<filter-class>cz.zcu.kiv.opencms.[=ValidateAuthFilter=]</filter-class>

<param-value>https://'''server_name1:secure_port'''/opencms/opencms/system/modules/org.opencms.welcome/elements/login_element_secure.jsp</param-value>

Do tagu ''<web-app>'' přidáme:\\
''<filter>''
->''<filter-name>[=ValidateAuthFilter=]</filter-name>''\\
''<filter-class>cz.zcu.kiv.opencms.[=ValidateAuthFilter=]</filter-class>''\\
''<init-param>''
-->''<param-name>timeout</param-name>''\\
''<param-value>15000</param-value>''
--<''</init-param>''\\
''<init-param>''
-->''<param-name>val-url</param-name>''\\
''<param-value>\
[=https://=]'''server_name1:secure_port'''[=/opencms/opencms/system/modules/org.opencms.welcome/elements/login_element_secure.jsp=]\
</param-value>''
--<''</init-param>''
-<''</filter>''\\
''<filter-mapping>''
->''<filter-name>[=ValidateAuthFilter=]</filter-name>''\\
''<url-pattern>/opencms/*</url-pattern>''
-<''</filter-mapping>''

''timeout'' – čas po kterém bude při requestu vyvolána validační smyčka\\
''val-url'' – url validační stránky, která je součástí welcome modulu

{-V souboru <opencmsroot>/WEB-INF/config/opencms-system.xml, nastavíme:

</sites>@]-}

prozatimní řešení: tag ''<secure>'' nepoužívat\\

''<security-constraint>''
->''<web-resource-collection>''
-->''<web-resource-name>[=SecureWorkplace=]</web-resource-name>''
-->''<url-pattern>/opencms/system/*</url-pattern>''
->''</web-resource-collection>''
->''<user-data-constraint>''
-->''<transport-guarantee>CONFIDENTIAL</transport-guarantee>''
->''</user-data-constraint>''
''</security-constraint>''

->''ant -buildfile installToOpenCms.xml''

*''cz.zcu.kiv.opencms''
*''authentication.jar''

*''opencms.jar''

c) V instalačním adresáři Tomcatu se vytvoří adresář ''Kerberos_Configuration'', do kterého se nakopírují soubory potřebné pro správnou funkčnost autentizace protokolem Kerberos:
*''krb5.conf''
*''[=KerbNastaveni=].conf''

'''[+5.+] '''Nastavení filtru v ''<opencmsroot>/WEB-INF/web.xml''

<sites>

</sites>-}

{-V souboru <opencmsroot>/WEB-INF/config/opencms-system.xml, nastavíme:\\

<workplace-server>[=https://server_name1:secure_port=]</workplace-server>
<default-uri>/sites/default/</default-uri>''
<site server=[="http://=]server_name1:unsecure_port" uri="/sites/default/">
{-<secure server=[="https://=]server_name1:secure_port" exclusive="true" error="false" />-}
</site>

!! Jednoduchá varianta

{-V souboru ''<opencmsroot>/WEB-INF/config/opencms-system.xml'', nastavíme:-}\\
''<sites>''
->''<workplace-server>'''[=https://server_name1:secure_port=]'''</workplace-server>''
->''<default-uri>/sites/default/</default-uri>''
->''<site server=[="http://=]'''server_name1:unsecure_port'''" uri="/sites/default/">''
-->{-''<secure server=[="https://=]'''server_name1:secure_port'''" exclusive="true" error="false" />''-}
->''</site>''
''</sites>''

[[http://home.zcu.cz/~jpavuk/opencms/distr/JarInstallFile.zip | kompletní řešení]]

!!!Poznámky k nasazení Apache + Tomcat

*vynucování https obstaráva Apache - bod 3 není třeba
*Tomcat není schopen rozpoznat https - ''request.isSecure()'' je vždy ''false''
*lze použít validační filtr (pouze kontrola secure token) na URL, o kterých víme, že jsou na https
*stávající mechanismus vytváření validační smyčky při http přístupu je obtížné realizovat

'''Poznámka:''' Právě probíhá testování na verzi 7.0.5.

neni třeba řešit - apache jede na ssl a tomcatu to přeposílá interně bez ssl => tomcat nepotřebuje https

[[http://home.zcu.cz/~jpavuk/opencms/distr/JarInstallFile_docasne.zip | dočasné řešení]] - musí být upraveno dle nastavení serveru

Udělá se tak, že se z plné varianty použijí pouze kroky 6 a 7.

Eventuelně () je možné cestu k tomuto souboru nastavit pomocí parametru:

Toto se nastavuje v Tomcat Java Options – tato vlastnost poté platí jen pro Tomcat a ne pro celý JVM. Tento soubor se při instalaci modulu [=ANTem=] nakopíruje do adresáře ''Kerberos_Configuration'' v rootu Tomcatu. Toto nastavení se provede pomocí následující konstrukce:

-<Pro Linux se toto provede pomocí doplnění hodnoty proměnné ''CATALINA_OPTS'' v souboru ''/etc/environment''. Pro změnu tohoto souboru musíte mít root práva.

Eventuelně je možné cestu k tomuto souboru nastavit pomocí parametru:

!Instalace modulů zajišťujících zabezpečení přihlášení a práce v systému [=OpenCms=]

'''Poznámka:''' Právě probíhá testování na verzi 7.0.5

*lze použít validační filtr (pouze kontrola secure token) na URL, o kterých víme, že jsou na https

*Tomcat není schopen rozpoznat https

*Tomcat není schopen rozpoznat https

*vynucování https obstaráva Apache - bod 3 není třeba

[[http://home.zcu.cz/~jpavuk/opencms/distr/JarInstallFile_docasne.zip | dočasné řešení]] - musí být upraveno dle nastavení serveru

[[http://home.zcu.cz/~jpavuk/opencms/distr/JarInstallFile_docasne.zip | dočasné řešení]]

'''[+2.+] '''Nastavení portů http, https v [=CmsLogin.java=].

'''[+2.+] '''Nastavení portů http, https v CmsLogin.java.

'''[+2.+] '''Instalace dle bodů 4 a 6 uvedených výše.

'''[+3.+] '''Zakázání autentikace pomocí okna prohlížeče.

'''[+4.+] '''Spusťe Tomcat.

[[http://home.zcu.cz/~jpavuk/opencms/distr/LoginModuleInstall.zip | kompletní řešení]]

[[http://home.zcu.cz/~jpavuk/opencms/distr/LoginModuleInstall.zip | dočasné řešení]]

'''[+2.+] '''Instalace dle bodů 5 a 6 uvedených výše.

[[http://home.zcu.cz/~jpavuk/opencms/distr/LoginModuleInstall.zip | LoginModuleInstall.zip]]

-V souboru ''<opencmsroot>/WEB-INF/config/opencms-system.xml'', nastavíme:-}\\

'''Poznámka:''' Právě probíhá testování na verzi 7.0.x

!!! Nasazení
Probíhá testování na verzi 7.0.x

*v ''login_element.jsp'' upravit odkaz na ''login_module_secure.jsp'' ve formuláři, viz. řádky s TODO komentářem

V souboru ''<opencmsroot>/WEB-INF/config/opencms-system.xml'', nastavíme:\\

-->{--''<secure server=[="https://=]'''server_name1:secure_port'''" exclusive="true" error="false" />''--}

Tag ''<secure>'' v daném tvaru je třeba jen u definice ''<site>'', která má server shodný s ''<workplace-server>''.

->''<workplace-server>[=https://=]'''server_name1:secure_port'''</workplace-server>''

-->''<secure server=[="https://=]'''server_name1:secure_port'''" exclusive="true" error="false" />''

'''[+9.+] '''Restartujte Tomcat. Oba soubory je poté nutno publikovat do online projektu.

prozatimní řešení:\\

*NALEZEN PROBLÉM*: divné chování workplace cms... na řešení se pracuje

->''<workplace-server>[=https://=]'''server_name1:secure_port'''</workplace-server>''\\
''<default-uri>/sites/default/</default-uri>''

--<''</site>''

-->''<web-resource-name>[=SecureWorkplace=]</web-resource-name>''\\
''<url-pattern>/opencms/system/*</url-pattern>''
--<''</web-resource-collection>''\\
''<user-data-constraint>''

--<''</user-data-constraint>''
-<''</security-constraint>''

'''[+9.+] '''Restartujte Tomcat.

NALEZEN PROBLÉM: divné chování workplace cms... na řešení se pracuje\\

PROBLÉM!!! divné chování workplace cms... na řešení se pracuje

Toto se nastavuje v Tomcat Java Options – tato vlastnost poté platí jen pro Tomcat a ne pro celý JVM. Tento soubor se při instalaci modulu ANTem nakopíruje do adresáře ''Kerberos_Configuration'' v rootu Tomcatu. Toto nastavení se provede pomocí následující konstrukce:

'''3. '''Zabezpečení back-end (workplace) [=OpenCms=]

'''4. '''Instalace změněných souborů na systém [=OpenCms=]

'''5. '''Nastavení filtru v ''<opencmsroot>/WEB-INF/web.xml''

'''6. '''Nastavení cesty k ''[=LoginConfigurationFile=]''

'''7. '''Spusťte Tomcat.

'''8. '''Instalace welcome modulu do [=OpenCms=]

'''9. '''Restartujte Tomcat.

'''10. '''Funkce by měly být k dispozici.

'''1. '''Zastavte Tomcat.

'''2. '''Nastavení zabezpečeného přístupu https v souboru ''<CATALINA_HOME>/conf/server.xml'' pro Tomcat. Viz. [[http://tomcat.apache.org/tomcat-5.5-doc/ssl-howto.html]]

K instalaci slouží _ant-soubor_. Před jeho spuštěním je potřeba vzít na vědomí následující věci:

*Aby bylo možné tyto změny kdykoliv vrátit a uvést tak systém do původního stavu, obsahuje _ant-soubor_ také cíl _resetChanges_. Při instalaci se totiž vytvoří záloha původního souboru _opencms.jar_. Místo kam se tento soubor uloží, je možné nastavit pomocí property _backupDir_ implicitně se tento adresář jmenuje _Backup_. Pomocí cíle _resetChanges_ se tedy tento původní soubor může vrátit na Tomcat a vymazat tak změny provedené v [=OpenCms=].

Toto se nastavuje v Tomcat Java Options – tato vlastnost poté platí jen pro Tomcat a ne pro celý JVM. Tento soubor se při instalaci modulu antem nakopíruje do adresáře ''Kerberos_Configuration'' v rootu Tomcatu. Toto nastavení se provede pomocí následující konstrukce:

Dalším krokem je nastavení cesty k souboru, který obsahuje parametry protokolu Kerberos 5. Tento soubor by se na všech počítačích používaných v prostředí ZČU již měl nacházet na správném místě (kde jej Java standardně vyhledává). Na linuxových strojích se tento soubor jmenuje _krb5.conf_ a je v adresáři _/etc_, na windows se tento soubor jmenuje _krb5.ini_ a měl by být v adresáři _c:\winnt_. Pokud se tento soubor nevyskytuje na jednom z těchto míst, existují další, kde jej java hledá – viz dokumentace v JAAS.

'''1. '''Zastavte Tomcat

'''3. '''Zabezpečení back-end (workplace) [=OpenCms=]\\

'''4. '''Instalace změněných souborů na systém [=OpenCms=].

'''5. '''Nastavení filtru v ''<opencmsroot>/WEB-INF/web.xml''\\

'''6. '''Nastavení cesty k ''[=LoginConfigurationFile=]''.\\

'''7. '''Nyní můžete Tomcat opět spustit

'''9. '''Proveďte restart Tomcatu

'''10. '''Nyní by již měly všechny nové funkce být k dispozici.

doporučení: všechny front-end edit stránky přes HTTPS protože v tom případě se validují i POST požadavky.

jak získat v mé šabloně "zabezpečenou" login screen: úplně stejně jako v org.opencms.welcome.template.*.jsp - náš modul si to vše zařídí sám

Archiv s instalačními soubory:\\

''val-url'' – url validační stránky, která je součástí welcome modulu\\

Filter je namapován na všechny stránky.

Toto se nastavuje v Tomcat Java Options – tato vlastnost poté platí jen pro Tomcat a ne pro celý JVM. Tento soubor se při instalaci modulu antem nakopíruje do adresáře _Kerberos_Configuration_ v rootu Tomcatu. Toto nastavení se provede pomocí následující konstrukce:

'''2. '''Nastavení zabezpečeného přístupu https v souboru <CATALINA_HOME>/conf/''server.xml'' pro Tomcat. Viz. [[http://tomcat.apache.org/tomcat-5.5-doc/ssl-howto.html]]

V souboru <opencmsroot>/WEB-INF/config/''opencms-system.xml'', nastavíme:\\

'''5. '''Nastavení filtru v <opencmsroot>/WEB-INF/web.xml\\

_timeout_ – čas po kterém bude při requestu vyvolána validační smyčka\\
_val-url_ – url validační stránky, která je součástí welcome modulu\\

<filter>
-><filter-name>[=ValidateAuthFilter=]</filter-name>\\
<filter-class>cz.zcu.kiv.opencms.[=ValidateAuthFilter=]</filter-class>\\
<init-param>
--><param-name>timeout</param-name>\\
<param-value>15000</param-value>
--<</init-param>\\
<init-param>
--><param-name>val-url</param-name>\\
<param-value>\
[=https://=]''SERVER_NAME1:SECURE_PORT''[=/opencms/opencms/system/modules/org.opencms.welcome/elements/login_element_secure.jsp=]\
</param-value>
--<</init-param>
-<</filter>\\
<filter-mapping>
-><filter-name>[=ValidateAuthFilter=]</filter-name>\\
<url-pattern>/opencms/*</url-pattern>
-<</filter-mapping>

_val-url_ – url validační stránky, která je součástí welcome modulu

V souboru <OPENCMSROOT>/WEB-INF/config/''opencms-system.xml'', nastavíme:\\

<default-uri>/sites/default/</default-uri>
-><site server=[="http://=]'''server_name1:unsecure_port'''" uri="/sites/default/">
--><secure server=[="https://=]'''server_name1:secure_port'''" exclusive="true" error="false" />
--<</site>
</sites>''

-->-Djava.security.auth.login.config=''CESTA_K_KerbNastaveni.conf''

-->-Djava.security.krb5.conf=''CESTA_K_SOUBORU_KRB5.CONF''

*naimportovat modul org.opencms.welcome_4.2.5.zip
*zpět do Explorer modu, jít do system/modules/org.opencms.welcome/elements/
*v ''login_element.jsp'' upravit odkaz na ''login_module_secure.jsp'' ve formuláři, viz. řádka s TODO komentářem
*Upravit url v login_element_secure.jsp pro přechod na zabezpečené url (na sebe sama při nezabezpečeném přístupu), viz. TODO komentář

<sites>
-><workplace-server>[=https://=]''SERVER_NAME1:SECURE_PORT''</workplace-server>\\

-><site server=[="http://=]''SERVER_NAME1:UNSECURE_PORT''" uri="/sites/default/">
--><secure server=[="https://=]''SERVER_NAME1:SECURE_PORT''" exclusive="true" error="false" />

</sites>

*''KerbNastaveni''.conf

'''6. '''Nastavení cesty k _LoginConfigurationFile_.\\

->_ant -buildfile installToOpenCms.xml_

*_cz.zcu.kiv.opencms_
*_authentication.jar_

*_opencms.jar_

K instalaci slouží ant-soubor. Před jeho spuštěním je potřeba vzít na vědomí následující věci:

*Aby bylo možné tyto změny kdykoliv vrátit a uvést tak systém do původního stavu, obsahuje ant-soubor také cíl resetChanges. Při instalaci se totiž vytvoří záloha původního souboru opencms.jar. Místo kam se tento soubor uloží, je možné nastavit pomocí property backupDir implicitně se tento adresář jmenuje Backup. Pomocí cíle resetChanges se tedy tento původní soubor může vrátit na Tomcat a vymazat tak změny provedené v [=OpenCms=].

->ant -buildfile installToOpenCms.xml

*cz.zcu.kiv.opencms
*authentication.jar

*opencms.jar

c) V instalačním adresáři Tomcatu se vytvoří adresář Kerberos_Configuration, do kterého se nakopírují soubory potřebné pro správnou funkčnost autentizace protokolem Kerberos:
*krb5.conf
*[=KerbNastaveni=].conf

Do tagu <web-app> přidáme:\\

[=https://SERVER_NAME1:SECURE_PORT/opencms/opencms/system/modules/org.opencms.welcome/elements/login_element_secure.jsp=]\

timeout – čas po kterém bude při requestu vyvolána validační smyčka\\
val-url – url validační stránky, která je součástí welcome modulu

'''6. '''Nastavení cesty k [=LoginConfigurationFile=].\\
Toto se nastavuje v Tomcat Java Options – tato vlastnost poté platí jen pro Tomcat a ne pro celý JVM. Tento soubor se při instalaci modulu antem nakopíruje do adresáře Kerberos_Configuration v rootu Tomcatu. Toto nastavení se provede pomocí následující konstrukce:
-->-Djava.security.auth.login.config=CESTA_K_KerbNastaveni.conf
-<Pro Linux se toto provede pomocí doplnění hodnoty proměnné CATALINA_OPTS v souboru /etc/environment. Pro změnu tohoto souboru musíte mít root práva.

Dalším krokem je nastavení cesty k souboru, který obsahuje parametry protokolu Kerberos 5. Tento soubor by se na všech počítačích používaných v prostředí ZČU již měl nacházet na správném místě (kde jej Java standardně vyhledává). Na linuxových strojích se tento soubor jmenuje krb5.conf a je v adresáři /etc, na windows se tento soubor jmenuje _krb5.ini_ a měl by být v adresáři c:\winnt. Pokud se tento soubor nevyskytuje na jednom z těchto míst, existují další, kde jej java hledá – viz dokumentace v JAAS.

-->-Djava.security.krb5.conf=CESTA_K_SOUBORU_KRB5.CONF

*naimportovat modul org.opencms.welcome_4.2.6.zip

*v login_element.jsp upravit odkaz na login_module_secure.jsp ve formuláři, viz. řádka s TODO komentářem

'''2. '''Nastavení zabezpečeného přístupu https v souboru '''<CATALINA_HOME>/conf/server.xml''' pro Tomcat. Viz. [[http://tomcat.apache.org/tomcat-5.5-doc/ssl-howto.html]]

V souboru ''<OPENCMSROOT>/WEB-INF/config/opencms-system.xml'', nastavíme:\\

Tag <secure> v daném tvaru je třeba jen u definice site, která má server shodný s workplace-server.

Otazník: jak u multisite?

V souboru '''<OPENCMSROOT>/WEB-INF/config/opencms-system.xml''', nastavíme:\\

-><workplace-server>https://'''SERVER_NAME1:SECURE_PORT'''</workplace-server>\\

-><site server="http://'''SERVER_NAME1:UNSECURE_PORT'''" uri="/sites/default/">
--><secure server=[="https://SERVER_NAME1:SECURE_PORT"=] exclusive="true" error="false" />

'''2. '''Nastavení zabezpečeného přístupu https v souboru _<CATALINA_HOME>/conf/server.xml_ pro Tomcat. Viz. [[http://tomcat.apache.org/tomcat-5.5-doc/ssl-howto.html]]

V souboru <OPENCMSROOT>/WEB-INF/config/opencms-system.xml, nastavíme:\\

-><workplace-server>[=https://SERVER_NAME1:SECURE_PORT=]</workplace-server>\\

-><site server=[="http://SERVER_NAME1:UNSECURE_PORT"=] uri="/sites/default/">

'''1.'''Zastavte Tomcat

'''2.'''Nastavení zabezpečeného přístupu https v souboru <CATALINA_HOME>/conf/server.xml pro Tomcat. Viz. http://tomcat.apache.org/tomcat-5.5-doc/ssl-howto.html

'''3.'''Zabezpečení back-end (workplace) [=OpenCms=]\\

'''4.'''Instalace změněných souborů na systém [=OpenCms=].

'''5.'''Nastavení filtru v <opencmsroot>/WEB-INF/web.xml\\

'''6.'''Nastavení cesty k [=LoginConfigurationFile=].\\

'''7.'''Nyní můžete Tomcat opět spustit

'''8.'''Instalace welcome modulu do [=OpenCms=]

'''9.'''Proveďte restart Tomcatu

'''10.'''Nyní by již měly všechny nové funkce být k dispozici.

Attach:LoginModulInstall.zip

a) -<Do [=OpenCms=] se nakopírují následující soubory:

[=https://SERVER_NAME:SECURE_PORT/opencms/opencms/system/modules/org.opencms.welcome/elements/login_element_secure.jsp=]\

-->-Djava.security.auth.login.config=CESTA_K_LCF

-<Do [=OpenCms=] se nakopírují následující soubory:

Změní se soubor:

V instalačním adresáři Tomcatu se vytvoří adresář Kerberos_Configuration, do kterého se nakopírují soubory potřebné pro správnou funkčnost autentizace protokolem Kerberos:

Dalším krokem je nastavení cesty k souboru, který obsahuje parametry protokolu Kerberos 5. Tento soubor by se na všech počítačích používaných v prostředí ZČU již měl nacházet na správném místě (kde jej Java standardně vyhledává). Na linuxových strojích se tento soubor jmenuje krb5.conf a je v adresáři /etc, na windows se tento soubor jmenuje krb5.ini a měl by být v adresáři c:\winnt. Pokud se tento soubor nevyskytuje na jednom z těchto míst, existují další, kde jej java hledá – viz. dokumentace v JAAS.

->ant installToOpenCms.xml

jak získat v mé šabloně "zabezpečenou" login screen: úplně stejně jako v org.opencms.welcome.template.*.jsp - náš modul si to vše zařídí sám

'''9.'''Proveďte restart Tomcatu\\

'''4.'''Instalace změněných souborů na systém [=OpenCms=].\\

*1.*Zastavte Tomcat

*2.*Nastavení zabezpečeného přístupu https v souboru <CATALINA_HOME>/conf/server.xml pro Tomcat. Viz. http://tomcat.apache.org/tomcat-5.5-doc/ssl-howto.html

*3.*Zabezpečení back-end (workplace) [=OpenCms=]\\

*4.*Instalace změněných souborů na systém [=OpenCms=].\\

*5.*Nastavení filtru v <opencmsroot>/WEB-INF/web.xml\\

*6.*Nastavení cesty k [=LoginConfigurationFile=].\\

*7.*Nyní můžete Tomcat opět spustit

*8.*Instalace welcome modulu do [=OpenCms=]

*9.*Proveďte restart Tomcatu\\
*10.*Nyní by již měly všechny nové funkce být k dispozici.

1.Zastavte Tomcat

2.Nastavení zabezpečeného přístupu https v souboru <CATALINA_HOME>/conf/server.xml pro Tomcat. Viz. http://tomcat.apache.org/tomcat-5.5-doc/ssl-howto.html

3.Zabezpečení back-end (workplace) [=OpenCms=]\\

4.Instalace změněných souborů na systém [=OpenCms=].\\

5.Nastavení filtru v <opencmsroot>/WEB-INF/web.xml\\

6.Nastavení cesty k [=LoginConfigurationFile=].\\

--<Pro Linux se toto provede pomocí doplnění hodnoty proměnné CATALINA_OPTS v souboru /etc/environment. Pro změnu tohoto souboru musíte mít root práva.

--<Tento soubor se při instalaci nakopíruje do adresáře Kerberos_Configuration v instalačním adresáři Tomcatu (stejně jako Login Configuration File).

7.Nyní můžete Tomcat opět spustit

8.Instalace welcome modulu do [=OpenCms=]

9.Proveďte restart Tomcatu\\
10.Nyní by již měly všechny nové funkce být k dispozici.

-><filter-name>ValidateAuthFilter</filter-name>\\

6.Nastavení cesty k LoginConfigurationFile.\\

-Djava.security.auth.login.config=CESTA_K_LCF
Pro Linux se toto provede pomocí doplnění hodnoty proměnné CATALINA_OPTS v souboru /etc/environment. Pro změnu tohoto souboru musíte mít root práva.
Dalším krokem je nastavení cesty k souboru, který obsahuje parametry protokolu Kerberos 5. Tento soubor by se na všech počítačích používaných v prostředí ZČU již měl nacházet na správném místě (kde jej Java standardně vyhledává). Na linuxových strojích se tento soubor jmenuje krb5.conf a je v adresáři /etc, na windows se tento soubor jmenuje krb5.ini a měl by být v adresáři c:\winnt. Pokud se tento soubor nevyskytuje na jednom z těchto míst, existují další, kde jej java hledá – viz. dokumentace v JAAS. Eventuelně je možné cestu k tomuto souboru nastavit pomocí parametru:
-Djava.security.krb5.conf=CESTA_K_SOUBORU_KRB5.CONF
Tento soubor se při instalaci nakopíruje do adresáře Kerberos_Configuration v instalačním adresáři Tomcatu. (stejně jako Login Configuration File)

https://SERVER_NAME:SECURE_PORT/opencms/opencms/system/modules/org.opencms.welcome/elements/login_element_secure.jsp\

-<</filter>

<filter-name>ValidateAuthFilter</filter-name>
<url-pattern>/opencms/*</url-pattern>
</filter-mapping>
timeout – čas po kterém bude při requestu vyvolána validační smyčka

-><filter-name>[=ValidateAuthFilter=]</filter-name>
<filter-class>cz.zcu.kiv.opencms.[=ValidateAuthFilter=]</filter-class>

--><param-name>timeout</param-name>

--<</init-param>

--><param-name>val-url</param-name>

K instalaci slouží ant soubor. Před jeho spuštěním je potřeba vzít na vědomí následující věci:\\

Instalace se spustí příkazem:\\
ant installToOpenCms.xml\\
Do [=OpenCms=]se nakopírují následující soubory:

*KerbNastaveni.conf

Do tagu <web-app> přidáme:

<filter-class>cz.zcu.kiv.opencms.ValidateAuthFilter</filter-class>
<init-param>
<param-name>timeout</param-name>
<param-value>15000</param-value>
</init-param>
<init-param>
<param-name>val-url</param-name>
<param-value>
https://SERVER_NAME:SECURE_PORT/opencms/opencms/system/modules/org.opencms.welcome/elements/login_element_secure.jsp
</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>ValidateAuthFilter</filter-name>

*Aby bylo možné tyto změny kdykoliv vrátit a uvést tak systém do původního stavu, obsahuje ant soubor také cíl resetChanges. Při instalaci se totiž vytvoří záloha původního souboru opencms.jar. Místo kam se tento soubor uloží, je možné nastavit pomocí property backupDir implicitně se tento adresář jmenuje Backup. Pomocí cíle resetChanges se tedy tento původní soubor může vrátit na Tomcat a vymazat tak změny provedené v [=OpenCms=].
Instalace se spustí příkazem:
ant installToOpenCms.xml
Do [=OpenCms=]se nakopírují následující soubory:\\

Změní se soubor:\\

V instalačním adresáři Tomcatu se vytvoří adresář Kerberos_Configuration, do kterého se nakopírují soubory potřebné pro správnou funkčnost autentizace protokolem Kerberos:\\

8.Instalace welcome modulu do [=OpenCms=]\\

1.Zastavte Tomcat\\
2.Nastavení zabezpečeného přístupu https v souboru <CATALINA_HOME>/conf/server.xml pro Tomcat. Viz. http://tomcat.apache.org/tomcat-5.5-doc/ssl-howto.html\\

7.Nyní můžete Tomcat opět spustit\\

10.Nyní by již měly všechny nové funkce být k dispozici.\\

#Zastavte Tomcat
#Nastavení zabezpečeného přístupu https v souboru <CATALINA_HOME>/conf/server.xml pro Tomcat. Viz. http://tomcat.apache.org/tomcat-5.5-doc/ssl-howto.html
#Zabezpečení back-end (workplace) [=OpenCms=]

#Instalace změněných souborů na systém [=OpenCms=].

#Nastavení filtru v <opencmsroot>/WEB-INF/web.xml

#Nastavení cesty k LoginConfigurationFile. Toto se nastavuje v Tomcat Java Options – tato vlastnost poté platí jen pro Tomcat a ne pro celý JVM. Tento soubor se při instalaci modulu antem nakopíruje do adresáře Kerberos_Configuration v rootu Tomcatu. Toto nastavení se provede pomocí následující konstrukce:

#Nyní můžete Tomcat opět spustit
#Instalace welcome modulu do [=OpenCms=]

#Proveďte restart Tomcatu
#Nyní by již měly všechny nové funkce být k dispozici.

#.Zastavte Tomcat
#.Nastavení zabezpečeného přístupu https v souboru <CATALINA_HOME>/conf/server.xml pro Tomcat. Viz. http://tomcat.apache.org/tomcat-5.5-doc/ssl-howto.html
#.Zabezpečení back-end (workplace) [=OpenCms=]

#.Instalace změněných souborů na systém [=OpenCms=].

•cz.zcu.kiv.opencms
•authentication.jar

•opencms.jar

•krb5.conf
•KerbNastaveni.conf
#.Nastavení filtru v <opencmsroot>/WEB-INF/web.xml

#.Nastavení cesty k LoginConfigurationFile. Toto se nastavuje v Tomcat Java Options – tato vlastnost poté platí jen pro Tomcat a ne pro celý JVM. Tento soubor se při instalaci modulu antem nakopíruje do adresáře Kerberos_Configuration v rootu Tomcatu. Toto nastavení se provede pomocí následující konstrukce:

#.Nyní můžete Tomcat opět spustit

• přihlášení na back-end (workplace), přejít do Admin view
• naimportovat modul org.opencms.welcome_4.2.6.zip
• zpět do Explorer modu, jít do system/modules/org.opencms.welcome/elements/
• v login_element.jsp upravit odkaz na login_module_secure.jsp ve formuláři, viz. řádka s TODO komentářem
• Upravit url v login_element_secure.jsp pro přechod na zabezpečené url (na sebe sama při nezabezpečeném přístupu), viz. TODO komentář
#.Proveďte restart Tomcatu
#.Nyní by již měly všechny nové funkce být k dispozici.

1.Zastavte Tomcat
2.Nastavení zabezpečeného přístupu https v souboru <CATALINA_HOME>/conf/server.xml pro Tomcat. Viz. http://tomcat.apache.org/tomcat-5.5-doc/ssl-howto.html
3.Zabezpečení back-end (workplace) [=OpenCms=]

4.Instalace změněných souborů na systém [=OpenCms=].

5.Nastavení filtru v <opencmsroot>/WEB-INF/web.xml

6.Nastavení cesty k LoginConfigurationFile. Toto se nastavuje v Tomcat Java Options – tato vlastnost poté platí jen pro Tomcat a ne pro celý JVM. Tento soubor se při instalaci modulu antem nakopíruje do adresáře Kerberos_Configuration v rootu Tomcatu. Toto nastavení se provede pomocí následující konstrukce:

7.Nyní můžete Tomcat opět spustit

8.Proveďte restart Tomcatu

9.Nyní by již měly všechny nové funkce být k dispozici.

#Zastavte Tomcat
#Nastavení zabezpečeného přístupu https v souboru <CATALINA_HOME>/conf/server.xml pro Tomcat. Viz. http://tomcat.apache.org/tomcat-5.5-doc/ssl-howto.html
#Zabezpečení back-end (workplace) [=OpenCms=]

#Instalace změněných souborů na systém [=OpenCms=].

#Nastavení filtru v <opencmsroot>/WEB-INF/web.xml

#Nastavení cesty k LoginConfigurationFile. Toto se nastavuje v Tomcat Java Options – tato vlastnost poté platí jen pro Tomcat a ne pro celý JVM. Tento soubor se při instalaci modulu antem nakopíruje do adresáře Kerberos_Configuration v rootu Tomcatu. Toto nastavení se provede pomocí následující konstrukce:

#Nyní můžete Tomcat opět spustit

#Proveďte restart Tomcatu

#Nyní by již měly všechny nové funkce být k dispozici.

K instalaci slouží ant soubor. Před jeho spuštěním je potřeba vzít na vědomí následující věci: Spuštěním tohoto souboru dojde k přepsání některých tříd v instalaci [=OpenCms=]. Aby bylo možné tyto změny kdykoliv vrátit a uvést tak systém do původního stavu, obsahuje ant soubor také cíl resetChanges. Při instalaci se totiž vytvoří záloha původního souboru opencms.jar. Místo kam se tento soubor uloží, je možné nastavit pomocí property backupDir implicitně se tento adresář jmenuje Backup. Pomocí cíle resetChanges se tedy tento původní soubor může vrátit na Tomcat a vymazat tak změny provedené v [=OpenCms=].

Do [=OpenCms=]se nakopírují následující soubory:
• cz.zcu.kiv.opencms
• authentication.jar
Změní se soubor:
• opencms.jar
V instalačním adresáři Tomcatu se vytvoří adresář Kerberos_Configuration, do kterého se nakopírují soubory potřebné pro správnou funkčnost autentizace protokolem Kerberos:
• krb5.conf
• KerbNastaveni.conf

-<</site>

-><site server=[="http://SERVER_NAME1:UNSECURE_PORT"=] uri="/sites/default/">\\
--><secure server=[="https://SERVER_NAME1:SECURE_PORT"=] exclusive="true" error="false" />\\
-<</site>\\

-><workplace-server>[=https://SERVER_NAME1:SECURE_PORT</workplace-server>\\
--><default-uri>/sites/default/=]</default-uri>

-><site server="http://SERVER_NAME1:UNSECURE_PORT" uri="/sites/default/">\\
--><secure server="https://SERVER_NAME1:SECURE_PORT" exclusive="true" error="false" />\\
-></site>\\

4. Instalace změněných souborů na systém [=OpenCms=].

5. Nastavení filtru v <opencmsroot>/WEB-INF/web.xml

6. Nastavení cesty k LoginConfigurationFile. Toto se nastavuje v Tomcat Java Options – tato vlastnost poté platí jen pro Tomcat a ne pro celý JVM. Tento soubor se při instalaci modulu antem nakopíruje do adresáře Kerberos_Configuration v rootu Tomcatu. Toto nastavení se provede pomocí následující konstrukce:

7. Nyní můžete Tomcat opět spustit

8. Instalace welcome modulu do [=OpenCms=]

9. Proveďte restart Tomcatu

10. Nyní by již měly všechny nové funkce být k dispozici.

V souboru <OPENCMSROOT>/WEB-INF/config/opencms-system.xml, nastavíme:

-><workplace-server>[=https://SERVER_NAME1:SECURE_PORT</workplace-server>

-><site server="http://SERVER_NAME1:UNSECURE_PORT" uri="/sites/default/">
--><secure server="https://SERVER_NAME1:SECURE_PORT" exclusive="true" error="false" />
-></site>

!Instalace modulů zajišťující zabezpečení přihlášení a práce v systému [=OpenCms=]
V tomto návodu se předpokládá, že systém [=OpenCms=] je nainstalován ve standardním adresáři openCms.

-><workplace-server>https://SERVER_NAME1:SECURE_PORT</workplace-server>
--><default-uri>/sites/default/</default-uri>

!Instalace modulů zajišťující zabezpečení přihlášení a práce v systému OpenCms

#Zabezpečení back-end (workplace) openCms

4. Instalace změněných souborů na systém OpenCms.
K instalaci slouží ant soubor. Před jeho spuštěním je potřeba vzít na vědomí následující věci: Spuštěním tohoto souboru dojde k přepsání některých tříd v instalaci OpenCms. Aby bylo možné tyto změny kdykoliv vrátit a uvést tak systém do původního stavu, obsahuje ant soubor také cíl resetChanges. Při instalaci se totiž vytvoří záloha původního souboru opencms.jar. Místo kam se tento soubor uloží, je možné nastavit pomocí property backupDir implicitně se tento adresář jmenuje Backup. Pomocí cíle resetChanges se tedy tento původní soubor může vrátit na Tomcat a vymazat tak změny provedené v OpenCms.

Do OpenCms se nakopírují následující soubory:

8. Instalace welcome modulu do OpenCMS

Na návodu se pracuje.

doporučení: všechny front-end edit stránky přes HTTPS protože v tom případě se validují i POST požadavky.

Na návodu se pracuje.

! Návod