Konfiguration von Trusted Peer Authentication für die Mindbreeze Search Appliance Version 2017 Summer Release Status: 27. März 2017
Copyright Mindbreeze GmbH, A-4020 Linz, 2017. All rights reserved. All hardware and software names used are registered trade names and/or registered trademarks of the respective manufacturers. These documents are highly confidential. No rights to our software or our professional services, or results of our professional services, or other protected rights can be based on the handing over and presentation of these documents. Distribution, publication or duplication is not permitted.. Konfiguration von Trusted Peer Authentication für die Mindbreeze Search Appliance 2
Table of Contents 1 Einführung 4 2 Generierung der Zertifikate 4 2.1 Trusted Clientzertifikat 4 3 Installation der Zertifikate 4 4 Aktivierung der Trusted Peer Authentication 4 4.1 Übergabe des Benutzernamens bei Trusted Peer Authentication 5 5 Verwendung von benutzerdefinierten Zertifikaten 5 Konfiguration von Trusted Peer Authentication für die Mindbreeze Search Appliance 3
1 Einführung Um die Trusted Peer Authentication auf der Mindbreeze Search Appliance zu benutzen werden zwei Zertifikate benötigt. Ein Trusted CA Zertifikat, um die Clientzertifikate zu zertifizieren und ein Trusted X509 Clientzertifikat. Das letztere wird verwendet, um die Suchanfrage intern vom Mindbreeze Client Service zum Query Service zu versenden. Dieses Zertifikat muss mit dem Trusted CA Zertifikat signiert werden. Die Zertifikate können auf der Mindbreeze Konfigurationsoberfläche installiert werden. Nach der Installation muss die Trusted Peer Authentication am involvierten Mindbreeze Service aktiviert werden. 2 Generierung der Zertifikate Bei der Ersteinrichtung der Appliance wurden bereits passende Zertifikate generiert. 2.1 Trusted Clientzertifikat Zusätzlich zum CA-Zertifikat wurde auch ein Trusted Clientzertifikat erzeugt. Das Clientzertifkat wird in der Datei trusted.p12 im Ordner /opt/mindbreeze/setup/certificates/trustedpeer abgelegt und kann mittels des Dateimanagers im Managementcenter heruntergeladen werden. 3 Installation der Zertifikate Bei der Ersteinrichtung der Appliance wurden die generierten Zertifikate eingespielt und sind im Abschnitt Available CAs bzw. Available SSL Certificates aufgelistet. 4 Aktivierung der Trusted Peer Authentication Die Query Services akzeptieren automatisch Authentifizierungen, die auf dem Clientzertifikat basieren. Für den Client Service muss dies mit den folgenden Schritten manuell aktiviert werden: Öffnen Sie den Reiter Client Services auf der Konfigurationsoberfläche und wählen Sie die Option Advanced Settings aus. Konfiguration von Trusted Peer Authentication für die Mindbreeze Search Appliance 4
Aktivieren Sie die Option Use Trusted Peer Authentication und wählen Sie das Clientzertifikat im Dropdown-Listenfeld Trusted Peer Credential Certificate aus. Die Option Certificate Subject Trusted for Identity Delegation muss ein Pattern enthalten welches auf das Subject des Trusted Clientzertifikates zutrifft. Die Option Identity Extraction Order legt fest, über welche Möglichkeiten die Identity bei trusted-peer übergeben werden kann: Header, Request: Die Identity aus dem Header extrahiert. Falls der Header nicht gesetzt ist wird die Identity aus dem Request übernommen. Request, Header: Die Identity aus dem Request extrahiert. Falls die Identity im Header nicht gesetzt ist wird die Identity aus dem Header übernommen. Header: Die Identity aus dem Header extrahiert. Request: Die Identity aus dem Request extrahiert. 4.1 Übergabe des Benutzernamens bei Trusted Peer Authentication Trusted Peer Authentication kann verwendet werden, um die Anmeldung am Client-Service durchzuführen. Dazu muss ein passendes Trusted Client Zertifikat (siehe oben) verwendet werden. Der Benutzername wird dann im http-header X-Auth-User übergeben. 5 Verwendung von benutzerdefinierten Zertifikaten Für die Trusted Peer basierte Authentifizierung können auch benutzerdefinierte CA Zertifikate und Clientzertifikate verwendet werden. Die Clientzertifikate müssen mit dem CA Zertifikat signiert werden. Konfiguration von Trusted Peer Authentication für die Mindbreeze Search Appliance 5
Voraussetzungen für die Zertifikate: Die CA Zertifikatsdatei sollte ein base-64 encodiertes X.509 Zertifikat enthalten (Private Key wird nicht benötigt) Das Trusted Clientzertifikat sollte ein pkcs 12 Zertifikatsarchiv (.p12) sein, das ein X.509 Zertifikat und den dazugehörigen Private Key enthält. Wichtig: die pkcs Datei darf nicht passwortgeschützt sein. Konfiguration von Trusted Peer Authentication für die Mindbreeze Search Appliance 6