Domino 的服务器如何配置单点登录(SSO)
问题描述:
Lotus® Domino ®的服务器如何配置单点登录(SSO)?
解答:
本文档包含如何按部就班配置一个单点登录(SSO)的 Lotus® Domino ®的服务器的指导,你可以将其视为产品说明的补充部分。
如何配置单点登录
内容:
认证选项的概述
- 利用 Internet 站点设置单点登录
- 验证你的场所文档是正确的
- 启用 Internet 站点文档的使用
- 创建 Internet 站点文档
- 创建 Web SSO 配置文档
1. 仅限 Domino
2. Domino 和 Websphere
你可以在多方面配置验证 Web 客户端。你可以通过下面的各种方法为单点登录(SSO)选项设置名称和密码的认证。
关于 Internet /内部网客户端的基本名称和密码的身份验证
基本名称和密码身份验证使用基本挑战/应答协议来验证用户身份。基本身份验证是默认选项。若要使用此选项,你要在Domino服务器上为每个用户创建一个可以访问 Web 资源的文档。当作此设置时,如果一个 Internet /内部网客户端试图访问服务器上受保护的资源,Domino 仅询问名称和密码。(即一个匿名用户是不允许访问资源控制列表的。)
当用户访问该 Web 站点,用户提供的名称和密码会和存储在个人档案中的比较。在这种情况下,用户发送名称和密码的每个请求都是以未加密的格式到服务器的。更多关于设置认证选项的信息,请参考Domino Administrator 帮助。
基于认证的单服务器会话比基本密码验证提供了额外的功能和更安全的方式进行身份验证。在这种情况下,Web 用户提供用户名和密码进行登录,并且服务器生成一个浏览器 cookie 为接下来在同一服务器的所有验证使用。这种方法允许你自定义登陆界面,通过使用 Domino Web 配置数据库(domcfg.nsf),并且允许用户不关闭浏览器退出会话。顾名思义,这种身份验证方法仅适用于一个单一的服务器。当切换到一个不同的 Web 服务器时,Web 用户必须重新登录。
基于认证的多服务器会话,也被称为单点登录(SSO),是基于名称和密码认证的单服务器会话的扩展。此选项允许 Web 用户一旦登录到Domino或WebSphere服务器,然后再访问在相同的DNS下的任何其他Domino或WebSphere的服务器,不必再次进行身份验证。本文余下将讨论如何配置此单点登录选项。
- 所有参与单点登录的服务器至少是 Domino 5.0.5或者更高版本。
- 用户的 Web 浏览器必须启用 Cookie,因为身份验证令牌是由服务器生成的一个 Cookie 传送到浏览器。
- 你应该为将要参与单点登录的所有 Domino 服务器制作一个表单。你将需要 DNS 域名(例如,.ibm.com)以及服务器托管 Web 站点的完全合格的主机名。(例如,example.ibm.com)。
- 如果你有 WebSphere 服务器在你的组织中,将要参与单点登录的 WebSphere 服务器制作一个表单。咨询 WebSphere 使用说明中如何导出LTPA密钥。
- 确定你正在使用什么方法来设置 Domino 服务器的因特网协议。你可以使用两种方法配置因特网协议和 Web 设置:
-Internet 站点文档,Domino 6的一个新方法。
-Web 服务器配置视图和服务器文档,在Domino R5 中引进的管理 Web 站点的一个方法。
建议您使用 Internet 站点文档设置SSO,因为它在配置过程提供更大的灵活性和易用性。
如果参与SSO 环境的服务器包含 Domino R5 或相关产品,您可能需要使用 R5 的方法。
要确定或设置这个方法,请检查服务器文档中“从服务器 Internet 站点文档加载 Internet 配置”域是启用还是禁用。
- 如果启用Internet 站点,转到"使用Internet站点设置单点登陆" 部分
- 否则转到"使用Web服务器配置视图建立单点登陆" 部分
可以利用Domino 6 和Domino 7 服务器的Internet 站点来管理因特网协议和 Web 站点,并且已经在 Domino 6 中介绍过了。如果你环境中的所有服务器都是 Domino 6 或更新的版本,推荐使用此方法。
创建一个 Web SSO 的配置文档是 SSO 的一部分设置。为了成功地创建此文档, Domino Administrator 客户端的主服务器与参与单点登录的服务器一样,必须在同一个域名下。因为 Web SSO 的配置文档使用该服务器的名称来定位在 Domino 目录中的服务器文档。如果这个场所文档是不正确的,你会看到无法找到一个或多个参与服务器的错误信息。
打开你的场所文档,转到服务器标签。确定宿主/邮件服务器域中列出了你打算启用 SSO 的服务器。
接下来,你需要配置或验证 Internet 站点文档的使用功能在服务器中是启用的。
在 Domino Administrator 客户端,转到配置标签。
选择服务器- >“所有服务器文档。选择并打开你打算配置 SSO 的服务器文档。
转到基本标签。确定“从服务器Internet 站点文档加载 Internet 配置”域是启用的。
下一步是创建一个Internet文档,特别是为每一个参与 SSO 的服务器设置一个 Web 站点文档。如果 Internet 站点文档在你的站点已经存在,然后进入下一步,为每个站点启用 SSO。
在 Domino Administrator 客户端创建 Web 站点文档,转到配置标签。选择 Web -> Internet 站点。
从上面的菜单选择添加 Internet 站点 -> Web。
在 Web 站点文档,为这个站点输入一个描述名称,一个组织名称和完全合格的服务器主机名。
注:在 Domino 6.x 的版本中,该组织是大小写敏感的。注意你输入的组织名称,因为你必须和你将创建的输入完全相同的名字在 Web SSO 的配置文档中。
Internet 站点 - Web 站点文档的图片:
重复上面的步骤为每个参与的服务器在 SSO 中创建 Web 站点文档。如果你有服务器端口被映射共享一个单独的IP地址,你只需要为这个TCPIP 地址创建一个 Internet 站点文档。
Web SSO 配置文档是一个领域层次的配置文档。这个文档应该被复制到所有参与的单点登录领域中,参与的服务器是被加密的,并且包含了用于身份验证的用户凭据得共享密钥。一旦创建后,你将在你的 Internet 站点视图中看到 Web SSO 配置文档。
为了在 Domino Administrator 客户端创建 Web SSO 配置文档,点击文件,打开地址簿(names.nsf)。选择 Internet 站点视图然后点击创建 Web SSO 配置文档。
(您也可以到配置标签,选择 Web - > Internet 站点,然后从顶部的菜单中选择“创建 Web SSO 配置”。)
填写这个文档,并特别注意以下域:
- 关于配置名称,使用默认值 LtpaToken 。 (你可以在有限的情况下,使用其他的值。参考 Domino Administrator 帮助获取更多信息。)
- 为您指定的 Internet 站点 - Web 站点文档输入相同的组织名称。
- 在DNS域字段中,输入DNS域名。所有启用了单点登录的服务器必须属于同一个 DNS 域。
- 在 Domino 服务器名称域中,选择所有参与 SSO 的服务器。
注:不允许使用群组和通配符。需要将 Domino 服务器,而非 WebSphere 服务器列出来。
Web SSO 配置文档的图片:
有两种方法来初始化带有共享密钥的 Web SSO 配置文档。
如果单点登录的环境中没有 WebSphere 服务器参与,你应该选择密钥- >“创建 Domino SSO 密钥。
接下来,你会看到一个“成功创建了 Domino SSO 密钥” 的对话框,这表明 Domino SSO 密钥 已经被成功的创建了。
这个文档中的管理标签里的所有者和管理员域,以及服务器名称域的服务器是被文档的创建者加密的。你将在状态栏看到公共密匙被加密数量的信息。
你可以有一个或多个 WebSphere 服务器参与和 Domino 服务器一起在单点登录的环境中。如有需要,请参考 WebSphere 使用说明中如何生成LTPA密钥的细节。
在 Web SSO 的配置文档中,选择密钥- >导入 WebSphere LTPA 密钥。
在输入导入文件名的对话框中,输入 WebSphere LTPA 文件的路径。
提示后,输入密钥文件的密码。完成后,你将会看到“成功的导入 WebSphere LTPA 密钥”信息的对话框。
接下来,你必须在Internet 站点中启用 SSO。
在你的站点中打开 Internet 站点 - Web 站点文档,选择 Domino Web 引擎标签。
关于会话认证域,选择多个服务器(SSO)。
关于 Web SSO 配置域,选择 LtpaToken,之前你在 Web SSO 配置文档中创建过的。
Web 站点文档,Domino Web 引擎标签的图片
点击安全性标签,确定 TCP 认证的名称和密码是被启用的,如果使用 SSL,确定 SSL 认证的名称和密码是被启用的。
Web 站点文档,安全性标签的图片
为每个参与 SSO 的服务器重复以上步骤,保存并关闭所有 Internet 站点文档。
现在,复制在 DNS 域中所有服务器的 Domino 目录,所以服务器就可以访问 Web SSO 的配置文档以及 Internet 站点的文档了。
最后,通过控制台命令“load http”为每台服务器启动 HTTP 任务。如果 HTTP 任务已经运行,你可以通过控制台命令"tell http restart"重启它。
在 Web 服务器配置视图中设置 Internet 访问的方法是在 Domino R5 中引入的。建议仅使用此方法,如果你有一个或多个 R5 服务器,或者使用 Domino 扩展的产品,例如 QuickPlace 和 Domino 文档管理器,它们不能够在 Internet 站点配置中被使用。
如果你正在使用这个配置,在服务器文档的基本标签中“从服务器Internet 站点文档加载 Internet 配置”域的设置是禁用的。
创建一个Web SSO的配置文档是SSO的一部分设置。为了成功地创建此文档, Domino Administrator客户端的主服务器与参与单点登录的服务器一样,必须在同一个域名下。因为Web SSO的配置文档使用该服务器的名称来定位在Domino目录中的服务器文档。如果这个场所文档是不正确的,你会看到无法找到一个或多个参与服务器的错误信息。
打开你的场所文档,转到服务器标签。确定宿主/邮件服务器域中列出了你打算启用 SSO 的服务器。
Web SSO 配置文档是一个领域层次的配置文档,它控制着单点登录所需要的密钥。
要创建这个文档,打开 Domino 目录,然后转到服务器视图。点击 Web -> 创建 Web SSO 配置。
填写这个文档,并特别注意以下域:
- 在 DNS 域中为将要生成的令牌输入 DNS 域名称。所有启用了单点登录的服务器必须属于同一个 DNS 域。
- 对于组织域,不要让他为空。当你对 SSO 使用 Web 服务器配置视图时,组织名称必须是空的或者空白。
- 在 Domino 服务器名称域中,选择所有参与单点登录的服务器。
有两种方法来初始化带有共享密钥的 Web SSO 配置文档。
如果所有参与单点登录的服务器都是 Domino 服务器,选择密钥- >“创建 Domino SSO 密钥。
接下来,你会看到一个“成功创建了Domino SSO 密钥” 的对话框,这表明 Domino SSO 密钥 已经被成功的创建了。
你可以有一个或多个 WebSphere 服务器参与单点登录的环境,请参考 WebSphere 使用说明中如何生成LTPA密钥的细节。
在 Web SSO的配置文档中,选择密钥- >导入 WebSphere LTPA 密钥。
在输入导入文件名的对话框中,输入 WebSphere LTPA 文件的路径。
提示后,输入密钥文件的密码。当你看到“成功的导入 WebSphere LTPA 密钥”信息的对话框,点击 OK 。
Web SSO 配置文档的图片:
打开服务器文档。转到端口标签 -> 因特网端口标签 -> Web 标签。设置姓名和密码认证为 Yes 来启用 HTTP 端口。
服务器文档 - Web 标签的图片
接下来转到因特网协议标签 -> Domino Web 引擎标签。在会话认证域选择多个服务器。
为每个参与单点登录的服务器重复以上步骤。保存并关闭所有服务器文档。
现在,复制在 DNS 域中所有服务器的 Domino 目录,所以服务器就可以访问 Web SSO 的配置文档以及 Internet 站点的文档了。
最后,通过控制台命令“load http”为每台服务器启动 HTTP 任务。如果 HTTP 任务已经运行,你可以通过控制台命令"tell http restart"重新启动它。
为了验证单点登录是否是正确的,启动一个Web浏览器并输入你的服务器的Web地址, 使用完整的DNS服务器的名称(例如,http://example.ibm.com)。输入用户名和密码登录这台服务器。然后更改 URL 地址到另一台相同域的服务器。如果 SSO 设置成功,当你访问受保护的资源时,将不再需要输入用户名和密码。
如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!
赞0作者其他文章
评论 0 · 赞 1
评论 0 · 赞 1
评论 0 · 赞 0
评论 0 · 赞 1
评论 0 · 赞 2
添加新评论0 条评论