关于 WebSphere Portal, Domino 扩展产品以及Domino 单点登录（SSO）的疑难解答

Technote (troubleshooting)

问题

关于 WebSphere Portal, Domino 扩展产品以及Domino 单点登录（SSO）的疑难解答

解决问题

索引： I. 每个产品的正确测试方法 II. 关于这三个产品的常规设置和配置 III. 对于 QuickPlace 服务器的其他步骤 IV. 对于 Sametime 服务器的其他步骤 V. 当 Portal 与 QuickPlace，Sametime 或 Domino 使用不同目录时需要的其他步骤 VI. 其他可能的已知问题和配置 I. 测试每个产品是否已配置正确: QuickPlace (也称为 Team Workplace） --        1. 登录到 WebSphere Portal。         2. 更改浏览器的 URL 为 http://qpserver.domain.com/quickplace         您的名字应该出现在页面的左上角。如果未显示，说明 QuickPlace 的单点登录（SSO）没有成功。        Sametime (也称为 Instant Messaging & Web Conferencing） --        1. 登录到 WebSphere Portal。         2. 更改浏览器的 URL 为 http://stserver.domain.com/stcenter.nsf         3. 单击 'Attend a Meeting'.         您的名字应该出现在页面的右上角。如果未显示，说明 Sametime 的单点登录（SSO）没有成功。        Domino                1. 登录到 WebSphere Portal。         2. 确保您已有一个 Domino 数据库，并且该数据库访问控制列表（ACL）的“-Default- ”和“Anonymous”项被设置为“无访问权限”。下一步中的示例假定该数据库名称为 test.nsf，并位于 Domino\Data目录。         3. 更改浏览器的 URL 为 http://dominoserver.domain.com/test.nsf         如果出现登陆页面，说明 Domino 服务器 的单点登录（SSO）没有成功。        II. 关于这三个产品的常规设置和配置： 如果您没有将与 WebSphere Portal 关联的 Domino 服务器设置为服务器单点登录（MSSO），请按照下面文档中的说明进行设置： “启动 Domino 与 WebSphere 应用服务器的单点登录功能” (#         1098010)        如果您已经在该 Domino 服务器上设置服务器单点登录，请检查一下设置： A. 在 Domino 目录（Names.nsf）的 Web 配置视图中，打开 Web SSO 的 LTPA 令牌配置文档。          1. 确保该处的 DNS 域同 WebSphere 配置的 DNS 域，以及在浏览器中访问该服务器时输入的 DNS 域是一致的。           在 WebSphere Portal v4.x 中检查 DNS 域：           1. 打开 WebSphere 管理控制台。            2. 转至“控制台 -> 安全中心”。            除了 DNS 域前的句号，在身份验证标签中的值应该与上面的 DNS 域是一致的。Domino 目录中的 DNS 域前包含句号，而 WebSphere 中未包含。            在 WebSphere Portal v5.x 中检查 DNS 域：           1. 打开 WebSphere 管理控制台。            2. 单击“安全 -> 认证机制”。            3. 在“其他属性”中，单击“单点登录(SSO)”。             在 WebSphere Portal v6.x 中检查 DNS 域：           1. 打开 WebSphere 管理控制台。            2. 单击“安全性 -> 全局安全性 -> 认证机制”下的“认证机制”项。            3. 选择“LTPA -> SSO”。            注：除了 DNS 域前的句号，在身份验证标签中的值应该与上面的 DNS 域是一致的。Domino 目录中的 DNS 域前包含句号，而 WebSphere 中未包含。            注：如果使用的是 Domino 6.x 服务器，就不必在端口号前加“\”符号。           2. 确保 Domino 服务器名称包含您正在设置 SSO 的 Domino 服务器的标准层次名。          3. 确保 WebSphere Portal 的域设置（Realm）与 WebSSO 文档中的 LTPA 域设置是一致的。          在 WebSphere Portal v4 和 v5.0.x 中检查域设置（Realm）：           该域应该与 Portal 关联的 LDAP 服务器保持一致，并确保格式的正确性。例如，如果 WebSphere 用户存储库所关联的 LDAP 服务器为“ldap.domain.com”，并且端口为“389”，那么 LDAP 域字段就应该为“ldap.domain.com\:389”。           ** 注：如果您使用的是 Domino 5.x 服务器，必须在“:389”之前添加“\”符号。但这对于 Domino 6.x 服务器来说不是必须的，不过添加该符号并不会导致问题。           在 WebSphere Portal v5.1.x 中检查域设置（Realm）：           如果您启动了安全性，但           没有配置对域的支持，这些步骤同样适用于 Portal 的早期版本，如 Portal v4 和 v5。           如果您启用了安全性与           域支持（通过运行配置任务 enable-security-wmmur-ldap 或 enable-security-wmmur-db），您将需要手动在 Portal 和 Domino 之间同步域的值。您可以采用如下两种方式：           方法 #1：           缺省情况下，在运行 enable-security-wmmur-ldap 或 enable-security-wmmur-db 任务后， 域值将被 Portal 设置为            WMMRealm。 如果您只需在 Domino 的 Web SSO 文档中更新 LDAP 域的值为            WMMRealm，您将需要重新启动 Domino 以使更改生效。           注：LDAP 域的值是区分大小写的。例如，如果您输入            wmmRealm 而不是            WMMRealm，SSO 就会失败。           方法 #2：           如果您想管控 Portal 所设置的域值，请使用以下步骤：           1. 设置 userRegistryRealm 的值。            a. 打开服务器的管理控制台。            b. 转至“安全性 -> 用户注册表 -> 用户定制”。            c. 选择“用户定制属性”。            d. 检查 userRegistryRealm 属性是否已存在。如果存在，选择该属性并进行更新。否则进行新建。            e. 根据您的选择来设置 userRegistryRealm 的名称。                         比如，可采用 <full qualified name of the LDAP Server>:<Port> 作为该值。             例子： myldapserver.myorg.com:389            f. 保存更改，然后重新启动服务器。           2. 更新文件 security.xml。                       编辑文件“AppServer/config/cells/<cellname>/security.xml”并确保在标记“<userRegistries xmi:type="security:CustomUserRegistry" ...>”下设置域属性为“<full qualified name of the LDAP Server>:<Port>”。                      例子如下：           <userRegistries xmi:type="security:CustomUserRegistry" xmi:id="CustomUserRegistry_1" serverId="uid=wpsbind,dc=users,ou=bvt,c=de,o=ibm.com" serverPassword="{xor}..." ignoreCase="true" customRegistryClassName="com.ibm.websphere.wmm.registry.WMMUserRegistry" realm="myldapserver.myorg.com:389">            在 WebSphere Portal v6.x 中检查域设置（Realm）：            1. 打开 WebSphere 管理控制台。            2. 单击“安全性 -> 全局安全性 -> 用户注册表 -> 用户定制”。            3. 选择“用户定制属性”。            4. 检查 userRegistryRealm 属性是否已存在。如果存在，选择该属性并进行更新。            5. 如果该属性不存在，选择更新。            6. 根据您的选择来设置 userRegistryRealm 的名称。            7. 保存更改，然后重新启动服务器。            3. 从 WebSphere 中导出 LTPA 令牌，并将它导入 Domino。更多信息，请参阅以下技术说明：            “WebSphere Portal 和其他应用程序在相同域内的单点登录问题 （比如 Lotus Domino 或 Sametime）”（#            1198736）           B. 确保已启用多服务器 SSO 并能正确加载。          1. 打开您正在配置的服务器文档，并选择“因特网协议 -> Domino Web 引擎”选项卡。确保在“会话认证”字段中的值为“多服务器”。          2. 根据您正在运行的服务器版本，当在 Domino 中加载 HTTP 任务时您可能会看到如下信息：          Domino v5: HTTP: 成功加载 Web SSO 配置           Domino v6: HTTP Server: 未指定 Web SSO 配置，使用默认值（'LtpaToken'）。           C. 如果您的 SSO 仍有问题，请在 Domino 服务器的文件 Notes.ini 中添加以下项（该文件位于 Domino 程序目录）。          debug_sso_trace_level=2           websess_verbose_trace=1           debug_outfile=c:\outfile.txt           然后重新启动 Domino 服务器并登录到 Portal。更改浏览器的 URL 为 http://qpserver.domain.com/database.nsf 并将所得文件 Outfile.txt 发送到 Lotus 技术支持以得到更多帮助。          注：如果您更改了 WebSphere 安全性设置，您需要导出并重新导入 WebSphere LTPA 密钥，可参考上文中提到的文档，#          1098010。          注：如果您对 Domino Web SSO 的 LTPA 令牌配置文档进行了更改，那么您需要重新启动 Domino 服务器才能使更改生效。         III. 对于 QuickPlace 服务器的其他步骤：        A. 按照以下步骤在 QuickPlace 服务器上配置 SSO，这些内容可在 QuickPlace 管理员指南的第六章中找到。          1. 在服务器的 Notes.ini 文件中添加以下项：          NoWebFileSystemACLs=1           h_ScopeUrlInQP=1          2. 启用多服务器会话认证。           a. 使用 Notes 客户机在 QuickPlace 服务器上打开 Domino 目录文件（Names.nsf）。           b. 在“服务器 -> 服务器”视图中打开 QuickPlace 服务器文档。            c. 单击“因特网协议”选项卡。           d. 单击“Domino Web 引擎”选项卡。           e. 在“会话认证”中选择“多服务器”。           3. 创建或定制现有的 Domino Web 服务器配置数据库。           出于测试目的，如果 Domino Web 服务器配置数据库（domcfg.nsf）已经存在，请将其从 Lotus 目录中删除（其位于 Domino \Data目录)，并通过以下步骤创建一个新的 Domino Web 服务器配置数据库：           a. 使用 Domino Web 服务器配置模板（5.0）创建数据库“domcfg.nsf”。           b. 打开该新数据库。           c. 选择“创建 -> 映射登录表单”。           d. 在“目标数据库文件名”字段中输入“QuickPlace/resources.nsf”。           e. 在“目标表单名称”字段中输入“QuickPlaceLoginForm”。           f. 保存新的表单。                    一旦问题得到解决，并且您希望返回之前定制的 Domino Web 服务器配置数据库，那么需要在该数据库的原始设计上执行以下操作：           注： 仅当您要返回到之前定制的 Domino Web 服务器配置数据库时，才需要执行这些步骤。这些步骤可以用来帮助诊断您的定制导致的问题，但应该先确认 SSO 在上述数据库是成功的。           a. 使用 Domino Designer 打开 quickplace/resources.nsf。           b. 打开 QuickPlaceLoginForm 表单。           c. 从该表单中拷贝<Computed Value>字段到数据库 domcfg.nsf 的 login 表单。           B. 修改 qpconfig.xml 的非标准专有名称（DNs）。          例如，如果用户的 dn 是：“uid=tuser,cn=users,dc=acme,dc=com”，那关键的部分是“cn=users”。 Domino 名称在人员的公共名称之后不使用“cn”。修改“qpconfig.xml”文件中的“user_directory”，并将以下内容添加到模式部分（schema）：          <secondary_cn_component enabled="true"/>          如果“dn”包含空格，修改“qpconfig.xml”文件中的“user_directory”，并将以下内容添加到模式部分（schema）：          <dn_delimiter>,@</dn_delimiter>          <dn_delimiter robust_compare="true"/>          示例，“dn”在“ou=people”和“dc=com”之间包含一个空格：          uid=tuser,ou=people, dc=acme,dc=com           更多信息，请参考 qpconfig_sample.xml 和 QuickPlace 管理指南。          C. 如果您的 SSO 仍有问题，请在 Domino 服务器的文件 Notes.ini 中添加以下项（该文件位于 Domino 程序目录）。         debug_sso_trace_level=2           websess_verbose_trace=1           quickplaceauthenticationlogging=5           debug_outfile=c:\outfile.txt          然后重新启动 Domino 服务器并登录到 Portal。更改浏览器的 URL 为 http://qpserver.domain.com/quickplace 并将所得文件 Outfile.txt 发送到 Lotus 技术支持以得到更多帮助。          注：如果您更改了 WebSphere 安全性设置，您需要导出并重新导入 WebSphere LTPA 密钥，可参考上文中提到的文档，(#          1098010）。          注：如果您对 Domino Web SSO 的 LTPA 令牌配置文档进行了更改，那么您需要重新启动 Domino 服务器才能使更改生效。          注：对于 QuickPlace 6.5.x 来说，WebSSO 配置文档必须被命名为“LTPAToken”。而对于 QuickPlace 7.0 或者更高版本，您可以更改这个名称。         IV. 对于 Sametime 服务器的其他步骤： A. 与 Sametime 关联的 LDAP 服务器是否要求绑定用户认证?          如果需要，请添加绑定用户至 LDAP 目录的目录服务文档。           1. 在 Sametime 服务器上打开目录服务数据库（通常也称为“da.nsf”）。           2. 在该数据库中打开与 Sametime 关联的 LDAP 服务器的配置文档。           3. 在 LDAP 选项卡中设置下列字段：                      用户名字段：输入一个在 LDAP 目录中存在的用户名称。            密码字段：输入此用户的密码。            Base DN 字段：添加 Base DN，Portal 将根据该 Base DN 以执行搜索。           注：请确认对于 LDAP 服务器设置的端口字段是正确的。           B. 如果您的 SSO 仍有问题，请在 Domino 服务器的文件 Notes.ini 中添加以下项（该文件位于 Domino 程序目录）。          debug_sso_trace_level=2           websess_verbose_trace=1           debug_outfile=c:\outfile.txt           然后重新启动 Domino 服务器并登录到 Portal。更改浏览器的 URL 为 http://qpserver.domain.com/stcenter.nsf 并将所得文件 Outfile.txt 发送到 Lotus 技术支持以得到更多帮助。          注：如果您更改了 WebSphere 安全性设置，您需要导出并重新导入 WebSphere LTPA 密钥，可参考上文中提到的文档，(#          1098010）。          注：如果您对 Domino Web SSO 的 LTPA 令牌配置文档进行了更改，那么您需要重新启动 Domino 服务器才能使更改生效。          注：如果 WebSSO 配置文件的名称不是“LtpaToken”（例如，“MyLtpaToken”），那就需要在 notes.ini 文件中添加以下代码：          ST_TOKEN_TYPE=MyLtpaToken           从版本 8.5 开始，参数值“ST_TOKEN_TYPE”位于文件 sametime.ini 中的“[AuthToken]”部分。          V. 当 Portal 与 QuickPlace，Sametime 或 Domino 使用不同目录时需要的其他步骤： A. Domino 数据库必须与 Domino 目录进行认证。如果 Portal 使用了一个不同于 Domino 的 LDAP 服务器进行用户认证，有两种方式可在 Domino 和 Portal 之间配置单点登录（SSO）。         1. 根据 Portal 用来认证用户的目录，同步 Domino 目录的用户名和密码。                    例如，如果 WebSphere Portal 的用户目录采用的是 IBM Directory 服务器，并且用户的 dn 标识为：           uid=wpsadmin,cn=users,dc=acme,dc=com           ...那么需要在 Domino 中，给 wpsadmin 个人文档的用户名字段添加以下内容：           uid=wpsadmin/cn=users/dc=acme/dc=com            wpsadmin           这些内容应添加在 Domino 标准名称之下，位于用户名字段的第一行。          2. 配置目录协助文档，使 Domino 可以跟外部 LDAP 用户目录进行认证。           关于创建和配置目录协助文档的更多信息，请参阅            IBM Lotus Domino 管理员帮助数据库。Domino 管理员帮助数据库可以在            developerWorks: Lotus 上找到。           扩展 LDAP 模式，可通过添加以下属性，或使用已存在的属性： NotesDN=CN=Test User1,O=ACME *****必须和目录协助中的属性名称保持一致******* 在所有 Domino 服务器上使用目录协助文档来关联 LDAP 目录（与 Portal 正在使用的为同一个）。在 LDAP 选项卡中，添加一个包含 Notes 标准名称的 LDAP 属性。您可以使用该方法来解决多身份认证，比如，可以使用您的 Notes 用户名来连接 Domino 服务器，也可以访问邮件数据库而不需要修改相应的 ACL。            B. 如果          QuickPlace 使用          Domino LDAP 进行用户认证，而 Portal 使用其他的 LDAP 服务器进行用户认证，请执行以下技术说明中的步骤以配置相应的环境：          “当 WebSphere Portal 和 QuickPlace 使用不同的 LDAP 目录时，如何配置 SSO”（#1205905）         C. 如果          Sametime 使用          Domino LDAP 进行用户认证，而 Portal 使用其他的 LDAP 服务器进行用户认证，请执行以下技术说明中的步骤以配置相应的环境：         “当 WebSphere Portal 和 Lotus Sametime 使用不同的 LDAP 目录时，如何配置 SSO”（#          1205909）          D. 如果          Sametime 使用         本机 Domino 进行用户认证，而 Portal 使用其他的 LDAP 服务器进行用户认证，请执行以下技术说明中的步骤以配置相应的环境：         “当 WebSphere Portal 和 Lotus Sametime 使用不同的用户目录时配置 SSO”（#          1231292）          VI. 其他可能的已知问题和配置： 1. 当 Domino 目录采用多服务器单点登录时，Domino 服务器名称不能包含任何下划线或其他特殊字符。这是一个因为 Microsoft Internet Explorer (IE)安全补丁所造成的程序限制。         任何用户名不能与同一层次结构的 Domino 名称相同。例如，如果 Domino 服务器名称是“domsrv/acme”，那么任何个人文档在用户名字段的第一行都不能设置为“domsrv/acme”。