Connector für Microsoft Exchange - Authentifizierung - Kerberos

Für die Verwendung des Connectors für Microsoft Exchange muss MediaGateway installiert sein. Eine Anleitung dazu finden Sie hier.

Die Kerberos-Authentifizierung für den Connector Microsoft Exchange kann in der Konfiguration der Datenquelle im Modul "Integration" eingestellt werden. Wie Sie eine neue Datenquelle erstellen können, erfahren Sie hier.

In der Konfiguration der Datenquelle finden Sie unter "Authentifizierung" die Einstellung "Kerberos (nur bei integrierter Authentifizierung)".

Kerberos ermittelt anhand des aktuellen Windows-Users die Anmeldeinformationen und meldet automatisch an. Bitte beachten Sie folgende Grundvoraussetzungen für eine erfolgreiche Authentifizierung mit Kerberos:

  • Das Intrexx Portal muss mit integrierter Authentifizierung betrieben werden.

  • Die Benutzer aus Ihrem Active Directory müssen entsprechend in Intrexx angelegt sein. Sie können Benutzer auch ganz einfach importieren. Bitte stellen Sie sicher, dass mindestens ein Benutzer in der Administratoren-Gruppe enthalten ist, um das System weiterhin administrieren zu können.

  • Der Server, auf dem das MediaGateway installiert ist, benötigt die Gruppenrichtlinie "Delegierung".

  • Alle Clients und Server müssen Mitglieder der gleichen Domäne sein.

  • Im Internet Explorer muss in den Sicherheitseinstellungen der verwendeten Zone bei Benutzerauthentifizierung die "Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort" eingestellt sein. Außerdem muss in den erweiterten Einstellungen die Einstellung "Integrierte Windows-Authentifizierung aktivieren" gesetzt sein.

  • Bei der Kerberos-Authentifizierung haben Sie ein echtes Single-Sign on für den Zugriff Ihrer Benutzer auf den Exchange-Server und verwenden die integrierte Windows-Authentifizierung.

Kann ein Benutzer nicht authentifiziert werden, wird automatisch die sitzungsbasierte Anmeldung aktiviert.

Service-Principal-Name

Für die erfolgreiche Authentifizierung muss ein Service-Principal-Name (SPN) angegeben werden. Der SPN enthält die Informationen über den Dienst, für den ein Kerberos Ticket erzeugt werden soll. Dieses Ticket wird für den MediaGateway-Server benötigt. Hier wird ein SPN vorgeschlagen, der jedoch in der Praxis abhängig von Ihrer Systemumgebung angepasst werden muss.

Der SPN ist in der Regel wie folgt aufgebaut: host/<Rechner-DNS-Name>@<KERBEROS_REALM>. Dabei entspricht der Rechner-DNS-Name dem voll qualifizierten Host-Name (z.B. meinrechner.meinefirma.de). KERBEROS_REALM entspricht in der Regel der Domäne in Großbuchstaben (z.B. MEINEFIRMA.DE). Der SPN mit den Beispieldaten würde demnach wie folgt lauten: host/meinrechner.meinefirma.de@MEINEFIRMA.DE.

Die Beschreibung aller weiteren Schritte in einer Microsoft Exchange-Datenquellen-Konfiguration finden Sie hier. Beachten Sie dort auch den Hinweis unter "Zugangsdaten für den Exchange-Server".