1、实现 domino 8.5.1 的 SPNEGO 机制前要明确以下信息:
· 一台微软 Windows 活动目录域服务器(BYSFT-DC.BYSFT.LOCAL),提供 Kerberos Key 分配中心服务和 LDAP 服务。
· Domino 8.5.1 服务器(BYSFT-MAIL01.BYSFT.LOCAL)运行在一个 Windows 机器上,并且这台机器加入了活动目录的域中。
· Domino 8.5.1 服务器配置(BYSFT-MAIL01.BYSFT.LOCAL)成 “多服务器会话” 的单点登录授权机制(MSSO)。
· 需要一台加入了活动目录域中的 Windows 的客户端(windowsXP or windows7), 这个机器上运行着支持 Domino 的浏览器(IE6,7,8)。
2、实现spnego机制的工作原理
3、配置实现
3.1 在域服务器内创建web登陆的AD用户tester03;同时在domino服务器内创建tester03的个人配置文档;具体请参考截图
3.1.1 在域控制器内创建
3.1.2 在domino服务器内注册test03个人文档(使用domino administrator)
注册成功后修改个人文档
保持internet password为空
在用户名(user name域)内添加internet格式的地址:tester03@BYSFT.LOCAL(注意大小写)
3.2 在域内使用setspn.exe工具注册http服务的管理
3.2.1 创建domino管理账号SysAdmin(在域控制上);并把用户加入到域管理员组内;
3.2.2 在domino服务器内使用SysAdmin账号来启动lotus domino server服务
3.2.3 为HTTP注册服务关联账户
SETSPN-to HTTP/bysft-mail01.bysft.local SysAdmin
3.3 在domino服务器上使用模板da50.ntf来创建目录辅助服务数据库,命名为myda.nsf
3.4 创建web sso 配置;允许webmail通过AD LDAP用户进行单点登录配置
3.5 配置-服务器-服务器文档 ;
3.6 配置-message-配置,notes参数配置;目的通过控制台监控SSO认证的活动
4 、通过客户端进行测试;
4.1 没有加入域或者没有启动集成身份验证是,具体描述;
4.2 也可以使用加入域,在IE选项中配置集成身份验证后;当使用域登陆后,打开IE窗口直接访问到web邮箱;
本文转自 高文龙 51CTO博客,原文链接:http://blog.51cto.com/gaowenlong/1128793,如需转载请自行联系原作者
