本文档详细介绍了如何配置WebSphere Portal、Domino、QuickPlace和Sametime的单点登录(SSO)。内容包括每个产品的正确测试方法、常规设置与配置,以及在不同目录场景下的额外步骤。此外,还提供了可能出现的问题及解决方案,帮助解决SSO配置中的疑难问题。
索引:
I. 每个产品的正确测试方法
II. 关于这三个产品的常规设置和配置
III. 对于 QuickPlace 服务器的其他步骤
IV. 对于 Sametime 服务器的其他步骤
V. 当 Portal 与 QuickPlace,Sametime 或 Domino 使用不同目录时需要的其他步骤
VI. 其他可能的已知问题和配置
I. 测试每个产品是否已配置正确:
QuickPlace(也称为 Team Workplace)-- 1. 登录到 WebSphere Portal。
2. 更改浏览器的 URL 为 http://qpserver.domain.com/quickplace
您的名字应该出现在页面的左上角。如果未显示,说明 QuickPlace 的单点登录(SSO)没有成功。
Sametime(也称为 Instant Messaging & Web Conferencing)-- 1. 登录到 WebSphere Portal。
2. 更改浏览器的 URL 为 http://stserver.domain.com/stcenter.nsf
3. 单击 'Attend a Meeting'.
您的名字应该出现在页面的右上角。如果未显示,说明 Sametime 的单点登录(SSO)没有成功。
Domino 1. 登录到 WebSphere Portal。
2. 确保您已有一个 Domino 数据库,并且该数据库访问控制列表(ACL)的“-Default- ”和“Anonymous”项被设置为“无访问权限”。下一步中的示例假定该数据库名称为 test.nsf,并位于 Domino\Data目录。
3. 更改浏览器的 URL 为 http://dominoserver.domain.com/test.nsf
如果出现登陆页面,说明 Domino 服务器 的单点登录(SSO)没有成功。
II. 关于这三个产品的常规设置和配置:
如果您没有将与 WebSphere Portal 关联的 Domino 服务器设置为服务器单点登录(MSSO),请按照下面文档中的说明进行设置:
“启动 Domino 与 WebSphere 应用服务器的单点登录功能” (#1098010)
如果您已经在该 Domino 服务器上设置服务器单点登录,请检查一下设置:
A. 在 Domino 目录(Names.nsf)的 Web 配置视图中,打开 Web SSO 的 LTPA 令牌配置文档。 1. 确保该处的 DNS 域同 WebSphere 配置的 DNS 域,以及在浏览器中访问该服务器时输入的 DNS 域是一致的。 在 WebSphere Portal v4.x 中检查 DNS 域: 1. 打开 WebSphere 管理控制台。
2. 转至“控制台 -> 安全中心”。
除了 DNS 域前的句号,在身份验证标签中的值应该与上面的 DNS 域是一致的。Domino 目录中的 DNS 域前包含句号,而 WebSphere 中未包含。 在 WebSphere Portal v5.x 中检查 DNS 域: 1. 打开 WebSphere 管理控制台。
2. 单击“安全 -> 认证机制”。
3. 在“其他属性”中,单击“单点登录(SSO)”。 在 WebSphere Portal v6.x 中检查 DNS 域: 1. 打开 WebSphere 管理控制台。
2. 单击“安全性 -> 全局安全性 -> 认证机制”下的“认证机制”项。
3. 选择“LTPA -> SSO”。
注:除了 DNS 域前的句号,在身份验证标签中的值应该与上面的 DNS 域是一致的。Domino 目录中的 DNS 域前包含句号,而 WebSphere 中未包含。
注:如果使用的是 Domino 6.x 服务器,就不必在端口号前加“\”符号。
2. 确保 Domino 服务器名称包含您正在设置 SSO 的 Domino 服务器的标准层次名。
3. 确保 WebSphere Portal 的域设置(Realm)与 WebSSO 文档中的 LTPA 域设置是一致的。
在 WebSphere Portal v4 和 v5.0.x 中检查域设置(Realm):
该域应该与 Portal 关联的 LDAP 服务器保持一致,并确保格式的正确性。例如,如果 WebSphere 用户存储库所关联的 LDAP 服务器为“ldap.domain.com”,并且端口为“389”,那么 LDAP 域字段就应该为“ldap.domain.com\:389”。
** 注:如果您使用的是 Domino 5.x 服务器,必须在“:389”之前添加“\”符号。但这对于 Domino 6.x 服务器来说不是必须的,不过添加该符号并不会导致问题。
在 WebSphere Portal v5.1.x 中检查域设置(Realm):
如果您启动了安全性,但没有配置对域的支持,这些步骤同样适用于 Portal 的早期版本,如 Portal v4 和 v5。
如果您启用了安全性与域支持(通过运行配置任务 enable-security-wmmur-ldap 或 enable-security-wmmur-db),您将需要手动在 Portal 和 Domino 之间同步域的值。您可以采用如下两种方式:
方法 #1:
缺省情况下,在运行 enable-security-wmmur-ldap 或 enable-security-wmmur-db 任务后, 域值将被 Portal 设置为 WMMRealm。 如果您只需在 Domino 的 Web SSO 文档中更新 LDAP 域的值为 WMMRealm,您将需要重新启动 Domino 以使更改生效。
注:LDAP 域的值是区分大小写的。例如,如果您输入 wmmRealm 而不是 WMMRealm,SSO 就会失败。
方法 #2:
如果您想管控 Portal 所设置的域值,请使用以下步骤:
1. 设置 userRegistryRealm 的值。 a. 打开服务器的管理控制台。
b. 转至“安全性 -> 用户注册表 -> 用户定制”。
c. 选择“用户定制属性”。
d. 检查 userRegistryRealm 属性是否已存在。如果存在,选择该属性并进行更新。否则进行新建。
e. 根据您的选择来设置 userRegistryRealm 的名称。 比如,可采用 : 作为该值。
例子: myldapserver.myorg.com:389
f. 保存更改,然后重新启动服务器。
2. 更新文件 security.xml。 编辑文件“AppServer/config/cells//security.xml”并确保在标记“”下设置域属性为“:”。 例子如下:
在 WebSphere Portal v6.x 中检查域设置(Realm):
1. 打开 WebSphere 管理控制台。
2. 单击“安全性 -> 全局安全性 -> 用户注册表 -> 用户定制”。
3. 选择“用户定制属性”。
4. 检查 userRegistryRealm 属性是否已存在。如果存在,选择该属性并进行更新。
5. 如果该属性不存在,选择更新。
6. 根据您的选择来设置 userRegistryRealm 的名称。
7. 保存更改,然后重新启动服务器。 3. 从 WebSphere 中导出 LTPA 令牌,并将它导入 Domino。更多信息,请参阅以下技术说明: “WebSphere Portal 和其他应用程序在相同域内的单点登录问题 (比如 Lotus Domino 或 Sametime)”(#1198736) B. 确保已启用多服务器 SSO 并能正确加载。 1. 打开您正在配置的服务器文档,并选择“因特网协议 -> Domino Web 引擎”选项卡。确保在“会话认证”字段中的值为“多服务器”。
2. 根据您正在运行的服务器版本,当在 Domino 中加载 HTTP 任务时您可能会看到如下信息:
Domino v5: HTTP: 成功加载 Web SSO 配置
Domino v6: HTTP Server: 未指定 Web SSO 配置,使用默认值('LtpaToken')。 C. 如果您的 SSO 仍有问题,请在 Domino 服务器的文件 Notes.ini 中添加以下项(该文件位于 Domino 程序目录)。 debug_sso_trace_level=2
websess_verbose_trace=1
debug_outfile=c:\outfile.txt 然后重新启动 Domino 服务器并登录到 Portal。更改浏览器的 URL 为 http://qpserver.domain.com/database.nsf 并将所得文件 Outfile.txt 发送到 Lotus 技术支持以得到更多帮助。
注:如果您更改了 WebSphere 安全性设置,您需要导出并重新导入 WebSphere LTPA 密钥,可参考上文中提到的文档,#1098010。
注:如果您对 Domino Web SSO 的 LTPA 令牌配置文档进行了更改,那么您需要重新启动 Domino 服务器才能使更改生效。
III. 对于 QuickPlace 服务器的其他步骤: A. 按照以下步骤在 QuickPlace 服务器上配置 SSO,这些内容可在 QuickPlace 管理员指南的第六章中找到。 1. 在服务器的 Notes.ini 文件中添加以下项:
NoWebFileSystemACLs=1
h_ScopeUrlInQP=1
2. 启用多服务器会话认证。 a. 使用 Notes 客户机在 QuickPlace 服务器上打开 Domino 目录文件(Names.nsf)。
b. 在“服务器 -> 服务器”视图中打开 QuickPlace 服务器文档。
c. 单击“因特网协议”选项卡。
d. 单击“Domino Web 引擎”选项卡。
e. 在“会话认证”中选择“多服务器”。 3. 创建或定制现有的 Domino Web 服务器配置数据库。 出于测试目的,如果 Domino Web 服务器配置数据库(domcfg.nsf)已经存在,请将其从 Lotus 目录中删除(其位于 Domino \Data目录),并通过以下步骤创建一个新的 Domino Web 服务器配置数据库:
a. 使用 Domino Web 服务器配置模板(5.0)创建数据库“domcfg.nsf”。
b. 打开该新数据库。
c. 选择“创建 -> 映射登录表单”。
d. 在“目标数据库文件名”字段中输入“QuickPlace/resources.nsf”。
e. 在“目标表单名称”字段中输入“QuickPlaceLoginForm”。
f. 保存新的表单。 一旦问题得到解决,并且您希望返回之前定制的 Domino Web 服务器配置数据库,那么需要在该数据库的原始设计上执行以下操作:
注: 仅当您要返回到之前定制的 Domino Web 服务器配置数据库时,才需要执行这些步骤。这些步骤可以用来帮助诊断您的定制导致的问题,但应该先确认 SSO 在上述数据库是成功的。
a. 使用 Domino Designer 打开 quickplace/resources.nsf。
b. 打开 QuickPlaceLoginForm 表单。
c. 从该表单中拷贝字段到数据库 domcfg.nsf 的 login 表单。 B. 修改 qpconfig.xml 的非标准专有名称(DNs)。 例如,如果用户的 dn 是:“uid=tuser,cn=users,dc=acme,dc=com”,那关键的部分是“cn=users”。 Domino 名称在人员的公共名称之后不使用“cn”。修改“qpconfig.xml”文件中的“user_directory”,并将以下内容添加到模式部分(schema):
如果“dn”包含空格,修改“qpconfig.xml”文件中的“user_directory”,并将以下内容添加到模式部分(schema):
,@
示例,“dn”在“ou=people”和“dc=com”之间包含一个空格:
uid=tuser,ou=people, dc=acme,dc=com
更多信息,请参考 qpconfig_sample.xml 和 QuickPlace 管理指南。 C. 如果您的 SSO 仍有问题,请在 Domino 服务器的文件 Notes.ini 中添加以下项(该文件位于 Domino 程序目录)。
debug_sso_trace_level=2
websess_verbose_trace=1
quickplaceauthenticationlogging=5
debug_outfile=c:\outfile.txt
然后重新启动 Domino 服务器并登录到 Portal。更改浏览器的 URL 为 http://qpserver.domain.com/quickplace 并将所得文件 Outfile.txt 发送到 Lotus 技术支持以得到更多帮助。
注:如果您更改了 WebSphere 安全性设置,您需要导出并重新导入 WebSphere LTPA 密钥,可参考上文中提到的文档,(#1098010)。
注:如果您对 Domino Web SSO 的 LTPA 令牌配置文档进行了更改,那么您需要重新启动 Domino 服务器才能使更改生效。
注:对于 QuickPlace 6.5.x 来说,WebSSO 配置文档必须被命名为“LTPAToken”。而对于 QuickPlace 7.0 或者更高版本,您可以更改这个名称。
IV. 对于 Sametime 服务器的其他步骤:
A. 与 Sametime 关联的 LDAP 服务器是否要求绑定用户认证? 如果需要,请添加绑定用户至 LDAP 目录的目录服务文档。 1. 在 Sametime 服务器上打开目录服务数据库(通常也称为“da.nsf”)。
2. 在该数据库中打开与 Sametime 关联的 LDAP 服务器的配置文档。
3. 在 LDAP 选项卡中设置下列字段:
用户名字段:输入一个在 LDAP 目录中存在的用户名称。
密码字段:输入此用户的密码。
Base DN 字段:添加 Base DN,Portal 将根据该 Base DN 以执行搜索。
注:请确认对于 LDAP 服务器设置的端口字段是正确的。 B. 如果您的 SSO 仍有问题,请在 Domino 服务器的文件 Notes.ini 中添加以下项(该文件位于 Domino 程序目录)。 debug_sso_trace_level=2
websess_verbose_trace=1
debug_outfile=c:\outfile.txt 然后重新启动 Domino 服务器并登录到 Portal。更改浏览器的 URL 为 http://qpserver.domain.com/stcenter.nsf 并将所得文件 Outfile.txt 发送到 Lotus 技术支持以得到更多帮助。
注:如果您更改了 WebSphere 安全性设置,您需要导出并重新导入 WebSphere LTPA 密钥,可参考上文中提到的文档,(#1098010)。
注:如果您对 Domino Web SSO 的 LTPA 令牌配置文档进行了更改,那么您需要重新启动 Domino 服务器才能使更改生效。
注:如果 WebSSO 配置文件的名称不是“LtpaToken”(例如,“MyLtpaToken”),那就需要在 notes.ini 文件中添加以下代码:
ST_TOKEN_TYPE=MyLtpaToken
从版本 8.5 开始,参数值“ST_TOKEN_TYPE”位于文件 sametime.ini 中的“[AuthToken]”部分。
V. 当 Portal 与 QuickPlace,Sametime 或 Domino 使用不同目录时需要的其他步骤:
A. Domino 数据库必须与 Domino 目录进行认证。如果 Portal 使用了一个不同于 Domino 的 LDAP 服务器进行用户认证,有两种方式可在 Domino 和 Portal 之间配置单点登录(SSO)。
1. 根据 Portal 用来认证用户的目录,同步 Domino 目录的用户名和密码。
例如,如果 WebSphere Portal 的用户目录采用的是 IBM Directory 服务器,并且用户的 dn 标识为:
uid=wpsadmin,cn=users,dc=acme,dc=com
...那么需要在 Domino 中,给 wpsadmin 个人文档的用户名字段添加以下内容:
uid=wpsadmin/cn=users/dc=acme/dc=com
wpsadmin
这些内容应添加在 Domino 标准名称之下,位于用户名字段的第一行。
2. 配置目录协助文档,使 Domino 可以跟外部 LDAP 用户目录进行认证。 关于创建和配置目录协助文档的更多信息,请参阅 IBM Lotus Domino 管理员帮助数据库。Domino 管理员帮助数据库可以在 developerWorks: Lotus 上找到。
扩展 LDAP 模式,可通过添加以下属性,或使用已存在的属性:
NotesDN=CN=Test User1,O=ACME
*****必须和目录协助中的属性名称保持一致******* 在所有 Domino 服务器上使用目录协助文档来关联 LDAP 目录(与 Portal 正在使用的为同一个)。在 LDAP 选项卡中,添加一个包含 Notes 标准名称的 LDAP 属性。您可以使用该方法来解决多身份认证,比如,可以使用您的 Notes 用户名来连接 Domino 服务器,也可以访问邮件数据库而不需要修改相应的 ACL。 
B. 如果 QuickPlace 使用 Domino LDAP 进行用户认证,而 Portal 使用其他的 LDAP 服务器进行用户认证,请执行以下技术说明中的步骤以配置相应的环境:
“当 WebSphere Portal 和 QuickPlace 使用不同的 LDAP 目录时,如何配置 SSO”(#1205905) C. 如果 Sametime 使用 Domino LDAP 进行用户认证,而 Portal 使用其他的 LDAP 服务器进行用户认证,请执行以下技术说明中的步骤以配置相应的环境:
“当 WebSphere Portal 和 Lotus Sametime 使用不同的 LDAP 目录时,如何配置 SSO”(#1205909) D. 如果 Sametime 使用本机 Domino 进行用户认证,而 Portal 使用其他的 LDAP 服务器进行用户认证,请执行以下技术说明中的步骤以配置相应的环境:
“当 WebSphere Portal 和 Lotus Sametime 使用不同的用户目录时配置 SSO”(#1231292)
VI. 其他可能的已知问题和配置:
1. 当 Domino 目录采用多服务器单点登录时,Domino 服务器名称不能包含任何下划线或其他特殊字符。这是一个因为 Microsoft Internet Explorer (IE)安全补丁所造成的程序限制。
任何用户名不能与同一层次结构的 Domino 名称相同。例如,如果 Domino 服务器名称是“domsrv/acme”,那么任何个人文档在用户名字段的第一行都不能设置为“domsrv/acme”。
扫一扫
505
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
