In Extra => System unter dem Reiter Authentifizierung bei Authentifizierung über, "Windows Domäne" auswählen.
In das erte Eingabefeld müssen die IP-Bereiche festgelegt werden, bei denen das Single-Sign-On durchgreifen soll. Es können Bereiche, aber auch einzelne IP-Adressen (Pro Zeile kann ein IP-Bereich festgelegt werden. z.B. 192.168.1.2 - 192.168.1.29) eingegeben werden. Diese Clients werden, wenn Sie nicht angemeldet sind, in das /kerb Verzeichnis weitergeleitet und dort über das Kerb-Apache-Modul authentifiziert. Bei erfolgreicher Anmeldung werden diese wieder zurück auf die ursprüngliche Adresse geleitet.
Wenn auf den Server mit unterschiedlichen Adressen zugegriffen wird, muss das Feld ActiveDirectory Domäne ausgefüllt werden. Hier muss die URL angegeben werden, über die das Kerberos-Ticket Gültigkeit hat (z.B. http://debian.egotec.net). Der SSO-Client wird dann zum Authentifizieren auf diese Adresse in das /kerb-Verzeichnis geleitet (z.B. http://debian.egotec.net/kerb).
Sie können zusätzlich einstellen, wie das EGOTEC CMS reagieren soll, wenn es den Benutzer nicht in der Datenbank gibt:
- nicht anmelden / Fehler ausgeben
- als Benutzer kerb anmelden
Dazu müssen Sie über die Benutzerverwaltung einen Benutzer mit dem Namen kerb anlegen. - Benutzer kerb kopieren und entsprechend umbenennen
Dazu muss ebenfalls der Benutzer kerb existieren. Dieser wird dann kopieren (gleiche Einstellungen, Recht,...) und mit dem Anmeldenamen von Windows umbenannt.
Die letzten drei Eingabefelder sind die Einstellungen für die ActiveDirectory Server Authentifizierung. Wenn der Client nicht in dem angegebenen IP-Bereich ist, wird als Fallback die ActiveDirectory Server-Authentifizierung verwendet.