Inhaltsverzeichnis

Handbuch Tc 12 Security Services

Handbuch Tc 12 Security Services

Oktober 2020 Patrick Granwehr Christoph Bühler

Achtung:
Dies ist nur ein Leitfaden. Bitte zusätzlich noch die originalen Dokumente mit einbeziehen…

Impressum

avasis AG
Gemperenstrasse 26
CH-9442 Berneck
Tel.: +41 71 737 99 22

Diese Unterlagen sind urheberrechtlich geschützt. Alle Rechte, auch die der Übersetzung, des Nachdruckes und Vervielfältigung der Unterlagen oder Teilen daraus, vorbehalten. Kein Teil der Unterlagen darf ohne Genehmigung von avasis AG in irgendeiner Form (Fotokopien, Mikrofilm oder ein anderes Verfahren), auch nicht für Zwecke der Unterrichtsgestaltung, reproduziert oder unter Verwendung elektronischer Systeme verarbeitet oder vervielfältigt oder Dritten zugänglich gemacht werden.

1. Vorbedingungen Clientinstallation

Wenn die Clientumgebung schonaufgesetzt ist muss nur noch die Anpassung für SSO gemacht werden.
(Wird in diesem Dokument beschrieben).

Dies kann auch später mit der SSO Konfiguration nach der web_tier Konfiguration gemacht werden.

2. 4-tier Client installation auf tccs umstellen

Dieser Schritt ist nur notwendig, falls dieser nicht schon bei Grundinstallation des 4-tier RichClient gemacht wurde.

2.1 Feature Maintenance

Client Communication System Use configurations and Environments
Use configurations and Environments

2.2 Client Communication System Switch

Use Configuration and Environments

2.3 Configuration Selection for Client Communication System

Shared (non-existing, modifiable)

2.4 Forward Proxy Settings

Do not use forward proxy

2.5 Environment Settings for Client Communication System

Add…

Name: tcprod
URI: http://avademo14:7070/tc
Tag:
SSO App ID:
SSO Login URL:

Add…

Name: TST SSO
URI: http://eTC-TST-WEB.hima.com:7070/tc
Tag:
SSO App ID: tctst
SSO Login URL: http://eTC-TST-WEB.hima.com:10090/tss-logservice/tccs

2.6 Reverse Proxy Settings

Skip reverse proxy criteria check

2.6 Kerberos Authentication Settings

Next…

2.7 Secure Socket Layer (SSL) Settings

Use Internet Explorer Certificate Store (Recommended)

2.8 Client Tag Filter

Next…

Confirmation

close

2.9 Ergebnis

In C:\plm\tc12\portal\plugins\configuration_12000.2.0\client_specific.properties

Siemens Ordner in C:\ProgramData\

3. IIS auf Webserver konfigurieren

Die IIS Webserverkonfiguration wird wegen der Verifizierung Kerberos authentication benötigt.

3.1 IIS installieren

3.1.1 Configure Microsoft IIS

4. C:\plm\SSO einrichten

1. Ordner SSO von … \avaCentralRepository\avaSSO\c\plm\SSO nach c:\plm kopieren

2. Pfade prüfen in: „C:\plm\SSO\bin\isapi_redirect.properties“

3. In „C:\plm\SSO\conf\workers.properties“ host anpassen

5. Modify Tomcat server.xml

In „C:\plm\webapp\apache-tomcat-9.0.16\conf\server.xml“ anpassen:

 <!-- <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" /> -->
    <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" secretRequired="" maxThreads="800" packetSize="65536" URIEncoding="UTF-8" tomcatAuthentication="false"/>

6. IIS konfigurieren

1. Configuration Editor

2. Website hinzufügen

3. Remove NTLM

RMB Windows Authentication, Providers

wird

4. Virtuelle Verzeichnis hinzufügen

5. ISAPI and CGI Restrictions

6. ISAPI-Filter

7. Default Web Site deaktivieren

Bleibt auch bei Reboot gestoppt…

IIS testen: http://avademo14:10090/ IIS wird auf Tomcat umgeleitet

7. Installing Security Services

7.1 SSO Sources vorbereiten

In aktuell installiertem Patch, z.B.
…\Tc12.2.0_patch_8_wntx64\wntx64\additional_applications\sso\TcSecurityServices12.2_20200318.zip
entpacken:

Folgendes ausführen:
…\wntx64\additional_applications\sso\TcSecurityServices12.2_xx\TcSecurity\default\INSTALL_SSO.EXE
…\wntx64\additional_applications\sso\TcSecurityServices12.2_xx\TcSecurity\de_de\INSTALL_SSO_DE_DE.EXE

Ergebnis: icd Folders

7.2 SSO ICD kopieren

Start „C:\plm\web_tier\insweb.bat«

Zuvor extrahierte ICD einlesen

8. Tss-logiservice erstellen

8.1 Create the Login Service

1. Start the Web Application Manager

c:\plm\web_tier\insweb.bat

Java must be installed…

Teamcenter Web-Anwendungs-Manager

Select: Hinzufügen…

2. Add Web Application

Name: tss-loginservice
Staging Location: c:\plm\web_tier\tss-loginservice
Advanced Web Application Options…

Zu verwendende Datei: tss-loginservice

3. Disk Locations for Install Images

Add…

4. Solution Typ: → Thin Client

5. Selected Solutions

Select the following:
- Security Services Login Service Web Application (required)
- Language (optional)

Confirm with: OK

6. Terminate Add Web Application

Check entries…

Confirm with: OK

7. Progress:

Confirm with: OK

9. Tss-idservice erstellen

9.1 Create the Identity Service

1. Start the Web Application Manager

c:\plm\web_tier\insweb.bat

Teamcenter Web-Anwendungs-Manager

Select: Hinzufügen…

Add Web Application

Name: tss-idservice
Staging Location: c:\plm\web_tier\tss-idservice
Advanced Web Application Options…

Zu verwendende Datei: tss-idservice

2. Disk Locations for Install Images

Add…

3. Solution Typ: → Thin Client

4. Selected Solutions

Select the following:

TC Security Services Identity Service Web Application (requiered)
Language (optional)

Confirm with: OK

Terminate Add Web Application

Check entries…

Confirm with: OK

5. Progress:

Confirm with: OK

10. Tss-loginservices anpassen

10.1 LdapAdmin

10.1.1 Mit LdapAdmin Loginuser überprüfen

10.1.2 tss-loginservice anpassen, Modify Tables

10.1.3 tss-loginservice anpassen, Modify Context Parameters

tcsso.login_service.sso_service_url:	http://avademo14.hawaii.com:7070/tss-idservice
identityServicePassword:	sicheres Passwort eingeben: 1nFodbAA
tcsso.behind_sso_gateway:	true
tcsso.gateway.field.type:	remote_user
tcsso.gateway.field.name:	REMOTE_USER
tcsso.login_service.enable_session_agent_applet:	false
tcsso.login_service.enableCsrf:	false

10.2 Tss-idservices anpassen

10.2.1 tss-idservice anpassen, Modify Tables

Application ID:	tcprod (SID…)
Application Root URL:	http://avademo14.hawaii.com:7070/
LDAP UserName Attribute:	sAMAccountName
Trusted Application:	false
Strip Domain Name:	true

10.2.2 tss-idservice anpassen, Modify Tables

User Supplied Name:	infodba (Domänenbenutzer welcher abfragen darf ob TC-User Mitglied in Domäne ist)
LDAP Domain Name or BaseDN:	hawaii.com

10.2.3 tss-idservice anpassen, Modify Tables

Primary LDAP:	Y
LDAP Host:	avademo14.hawaii.com
LDAP Port Number:	389
LDAP Port Number Override?:	N
LDAP Connect Type:	ldap
Max LDAP Connections:	20
Query DN:	infodba@hawaii.com
Query DN Password:	infodba (Passwort User)
UserObjectClass:	user
Fall back to User Attribute:	Y
User Attribute:	sAMAccountName
LDAP Connection Setup Delay:	-1
LDAP Connection Timeout:	0

10.2.4 tss-idservice anpassen, Modify Context Parameters

identityServicePassword:	sicheres Passwort eingeben: 1nFodbAA (gleiches wie bei loginservice!!!)
tcsso.LogLevel	Authentication failures
tcsso.AuthLogDir	c:\plm\SSO\log

10.2.5 Deploy war-Files

Kopieren

nach

11. TCServer Manager changes

11.1 tcenvpre.bat

In Ordner C:\plm\tc12\pool_manager\confs\tcprod eine Datei mit folgendem Namen erstellen:

tcenvpre.bat

Inhalt:

set TC_SSO_APP_ID=tcprod
set TC_SSO_Service=http://avademo14.hawaii.com:7070/tss-idservice
set TC_TMP_DIR=C:\temp\ServerManagerSSO
if not exist %TC_TMP_DIR% mkdir %TC_TMP_DIR%

12. TCServer Manager changes

12.1 4-tier Client installation auf tccs umstellen

Feature Maintenance

Environment Settings for Client Communication System

Anpassen:

Name:	tcprod
URI:	http://avademo14:7070/tc
Tag:
SSO App ID:	tcprod
SSO Login URL:	http://avademo14.hawaii.com:10090/tss-loginservice/tccs

Kerberos Authentication Settings

Support Kerberos authentication
- Use default settings

12.2 Richclient 4-tier

Einmal anmelden:

Sollte nun ohne Passworteingabe funktionieren

13. AWC auf SSO umstellen

1. Datei „C:\plm\tc12\aws2\stage\out\activeworkspace\site\WEB-INF\web.xml“ anpassen Am besten Firmenwebsite eintragen

2. In C:\plm\tc12\aws2\stage\components\activeworkspace\repo\kit\tc-aw-solution\src_j2ee\WEB-INF\web.xml
gleiche Anpassung:
Das erstere wird beim compilen überschrieben

3. TEM: Feature Maintenance, Update Active Workspace client settings

Enable TcSS Suport
Tcss Application ID:	tcprod
TcSS Login URL:	http://avademo14.hawaii.com:10090/tss-loginservice

War-File deployen…

4. Fehlermeldung im IE

Lösung:

14. Office integration auf SSO umstellen

14.1 Neu installieren

15. Teamcenter Visualization auf SSO umstellen

SSO App ID:	tcprod
SSO Login URL:	http://avademo14.hawaii.com:10090/tss-loginservice/tccs

16. Solid Edge SEEC

SSO App ID:	tcprod
SSO Login URL:	http://avademo14.hawaii.com:10090/tss-loginservice/tccs

17. Solid Works Integration auf SSO umstellen

SSO App ID:	tcprod
SSO Login URL:	http://avademo14.hawaii.com:10090/tss-loginservice/tccs

18. Zweiter Strang NOSSO

Nur für administrative Zwecke und nicht für Testing
Benutzer infodba und dcproxy (müssen so nicht in Domain erfasst werden)
Hintergrunddienste die nicht über SSO laufen dürfen
Kein AWC (nur SSO)

18.1 Web_tier, TcWebTier für SSO umbenennen

Ordner C:\plm\web_tier\TcWebTier in C:\plm\web_tier\tcwebtier-sso umbenennen

In „C:\plm\web_tier\tcwebtier-sso\webapp.dat“

In „C:\plm\web_tier\tcwebtier-sso\webapp_root\WEB-INF\web.xml“

In „C:\plm\web_tier\webapps.dat“

Insweb starten und prüfen.

18.2 tcwebtier_NOSSO

C:\plm\web_tier\tcwebtier-sso nach C:\plm\web_tier\tcwebtier-nosso kopieren

In „C:\plm\web_tier\tcwebtier-nosso\webapp.dat«

In „C:\plm\web_tier\tcwebtier-nosso\webapp_root\WEB-INF\web.xml“

In „C:\plm\web_tier\webapps.dat“

Insweb starten und prüfen.

18.3 tcwebtier_NOSSO anpassen

C:\plm\web_tier\insweb.bat

Ports jeweils an zweiter Stelle um einen Zähler erhöhen:

War-File nach instance_NOSSO deployen

19. Tomcat: mehrere Instanzen erstellen

19.1 Create 2 new different folders in different locations

These folders are for storing the instance specific configuration and other data such as logs, temp data

19.2 Copy the ‘conf’ folder into instances folder from server folder

This step is necessary to have different configuration for each instance. Any instance specific configuration related changes should be done in related instance folder only.

19.3 Zusätzliche Folder erstellen

19.4 Create instance specific startup.bat and shutdown.bat

19.5 Inhalt von webapps Folder in Instanzen kopieren

19.6 War-files in instance_SSO verschieben (deployte Ordner warden automatisch gelöscht)

19.7 Server.xml anpassen

C:\plm\webapp\apache-tomcat-9.0.16\instance_SSO\conf\server.xml
Ports belassen

<Server port="8005" shutdown="SHUTDOWN">
<Connector port="7070" protocol="HTTP/1.1"
               connectionTimeout="20000"
               redirectPort="8443" />
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" secretRequired="" maxThreads="800" packetSize="65536" URIEncoding="UTF-8" tomcatAuthentication="false"/>

C:\plm\webapp\apache-tomcat-9.0.16\instance_NOSSO\conf\server.xml
Ports an zweiter Stelle um einen Zähler hochstellen

<Server port="8105" shutdown="SHUTDOWN">
<Connector port="7170" protocol="HTTP/1.1"
               connectionTimeout="20000"
               redirectPort="8543" />
<Connector port="8109" protocol="AJP/1.3" redirectPort="8543" secretRequired="" maxThreads="800" packetSize="65536" URIEncoding="UTF-8" tomcatAuthentication="false"/>

19.8 Tomcat: Dienste anpassen

Bestehenden Tomcatdienst stoppen und deaktivieren

Nicht mehr verwendete Ordner umbenennen

Dienst für die beiden neuen Instanzen erstellen

Für instance_SSO
Cmd

set CATALINA_BASE=C:\plm\webapp\apache-tomcat-9.0.16\instance_SSO
cd C:\plm\webapp\apache-tomcat-9.0.16\bin
service.bat install instance_SSO

Für instance_NOSSO
Cmd

set CATALINA_BASE=C:\plm\webapp\apache-tomcat-9.0.16\instance_NOSSO
cd C:\plm\webapp\apache-tomcat-9.0.16\bin
service.bat install instance_NOSSO

20. Zweiter Poolmanager

Bestehenden poolmanager kopieren:
C:\plm\tc12\pool_manager\confs\tcprod
Nach
C:\plm\tc12\pool_manager\confs\tcprod_NOSSO

Anpassungen unter tcprod_NOSSO:

Add 2nd Server Manager in Console

JMX Configuration Panel

Dienst für zweiten Server Manager erstellen und Dienstuser anpassen

Create 2nd NOSSO Active Workspace Client

Nicht machen da zwei WAR files
Handling nicht zumutbar!

Es muss definiert werden dass AWC entweder mit oder ohne SSO läuft!

Geht ab AWC4.3 und neuer nicht mehr wegen Microservices.
Hosting-Prefs müssten jeweils für mit und ohne SSO konfiguriert werden (wie?)

Visualization Server Pool Assigner Setting auf NOSSO

Indexer Settings

In „C:\plm\tc12\TcFTSIndexer\conf\TcFtsIndexer.properties“

Dispatcher Client configuration

In „C:\plm\tc12\TcFTSIndexer\conf\TcFtsIndexer.properties“

21. Client NOSSO

21.1 4-tier Client installation auf tccs umstellen

Feature Maintenance

Environment Settings for Client Communication System

Add…

Name:	tcprod_NOSSO
URI:	http://avademo14:7170/tc
Tag:
SSO App ID:
SSO Login URL:

Kerberos Authentication Settings

Support Kerberos authentication
- Use default settings