Единая регистрация (единый вход) (SSO) и соответствие имен в Domino

6.2.4 Lotus Sametime 7: замечания по установке

В нашем примере с Sametime используется 2 сервера в разных доменах Domino, как показано на рис. 6.24. Один из этих серверов - это сервер LDAP, на котором конфигурируются все пользователи, а другой - сервер Sametime. Пользователи конфигурируются в директории LDAP. Серверы конфигурируются с использованием SSO и соответствия имен маркера LTPA.

Рис. 6.24. Общий обзор примера среды SSO с Sametime

Сервер Sametime ожидает наличия документов Web Configuration. Если документ Web SSO Configuration отсутствует, в процессе инсталляции такой документ создается. Если при инсталляции предлагается настроить HTTP-туннелирование, процесс инсталляции изменяет документ Server, меняя HTTP-порт с 80 на 8088.

Аутентификация работает правильно и имя из маркера LTPA задается правильно. Независимо от того, выполните ли вы вход сначала на LDAP-сервер или на сервер Sametime, результат будет один и тот же.

Процесс установки не позволяет применять конфигурацию LDAP с аутентификационными данными. После установки в документ LDAP Server базы данных Sametime Configuration вносятся изменения. Добавляются Login Name for LDAP Connection (Имя для входа в LDAP) и Password for LDAP Connection (Пароль для входа в LDAP).

Рис. 6.25. Login Name for LDAP Connection (Имя для входа в LDAP) и Password for LDAP Connection (Пароль для входа в LDAP)

Directory assistance

Процесс инсталляции создает запись о LDAP в базе данных Directory Assistance (или создает базу данных Directory Assistance). Проверьте журнал сервера на предмет ошибок. В записи могут отсутствовать аутентификационные данные (Authentication Credentials) или запись LDAP может оказаться продублированной. Если у вас уже есть такая запись, в процессе установки Sametime будет создана еще одна.

NOTES.INI

Сервер Sametime должен знать, как читать имя в маркере LTPA и преобразовывать его в имя Notes. См. пример 6.4.

ST_UID_PREFIX=uid=
ST_UID_POSTFIX=,

Рис. 6.26. Окно входа в Sametime

Имя пользователя в маркере LTPA – uid=ds,o=groofty. Строка ST_UID_PREFIX определяет, что имя пользователя идет после uid= строка и продолжается (в соответствии с параметром ST_UID_POSTFIX), пока не встретится запятая. В данном примере имя ds должно быть уникальным идентификатором пользователя.

Второе изменение нужно внести в файл SAMETIME.INI, в раздел [Directory] (пример 6.5). Описание этого параметра приводится для Sametime 6.5.1. Тестирование Sametime 7 показало, что все работает и без этого параметра.

[Directory]
ST_DB_LDAP_DEREF=3

За дополнительной информацией об инсталляции Sametime обращайтесь к руководству по инсталляции Sametime и Release Notes.

На рис. 6.26 показано окно входа в Sametime.

6.2.5 Инструкции для отладки SSO

При настройке SSO вы можете проверить имя пользователя LTPA, включив отладку SSO. При каждом соединении создается масса отладочной информации. Используйте данный параметр осторожно. Имя пользователя в маркере LTPA находится в формате LDAP (с запятыми). Система Domino выполняет преобразование между внутренним форматом (со слешами) и LDAP-форматом (с запятыми).

Установите параметр DEBUG_SSO_TRACE_LEVEL=2 в файле NOTES.INI сервера Domino.

В примере 6.6 показана структура первого блока данных и название маркера. Во втором блоке данных находится отметка времени и имя пользователя. В данном примере в маркере указано имя пользователя LTPA, взятое из документа Person (uid=DieterStalder).

[0788:0013-0494] SSO API> Dumping memory of encoded token [92 bytes].
00000000: 4141 4345 7A41 7A51 6B4E 3249 4452 4552 'AAECAzQzNkI2RDRE'
00000010: 444E 324D 6A51 3063 544E 3156 5761 3951 'NDM2Qjc0NTV1aWQ9'
00000020: 4752 6C6C 4764 7956 3355 6852 4762 6C52 'RGlldGVyU3RhbGRl'
00000030: 6963 7639 5750 7964 3262 6D39 4864 7A6C 'ci9vPWdyb29mdHlz'
00000040: 4250 6F43 574F 5958 6A49 5776 4C5A 4141 'PBCoOWXYIjvWZLAA'
00000050: 326C 3275 3649 3570 7759 3D3D 'l2u2I6p5Yw=='
[0788:0013-0494] SSO API> *** Retrieving Extra Token Info (SECTokenValidateAndGetTokenInfo)
***
[0788:0013-0494] SSO API> OrgName specified [QP].
[0788:0013-0494] SSO API> ConfigName specified [LtpaToken].
[0788:0013-0494] SSO API> Retrieved global static cache memory for config [QP:LtpaToken].
[0788:0013-0494] SSO API> Decoding Domino style Single Sign-On token.
[0788:0013-0494] SSO API> Dumping memory of encoded token [92 bytes].
00000000: 4141 4345 7A41 7A51 6B4E 3249 4452 4552 'AAECAzQzNkI2RDRE'
00000010: 444E 324D 6A51 3063 544E 3156 5761 3951 'NDM2Qjc0NTV1aWQ9'
00000020: 4752 6C6C 4764 7956 3355 6852 4762 6C52 'RGlldGVyU3RhbGRl'
00000030: 6963 7639 5750 7964 3262 6D39 4864 7A6C 'ci9vPWdyb29mdHlz'
00000040: 4250 6F43 574F 5958 6A49 5776 4C5A 4141 'PBCoOWXYIjvWZLAA'
00000050: 326C 3275 3649 3570 7759 3D3D 'l2u2I6p5Yw=='
[0788:0013-0494] SSO API> Dumping memory of decoded token [67 bytes].
00000000: 0100 0302 3334 4236 4436 4434 3334 4236 '....436B6D4D436B'
00000010: 3437 3535 6975 3D64 6944 7465 7265 7453 '7455uid=DieterSt'
00000020: 6C61 6564 2F72 3D6F 7267 6F6F 7466 7379 'alder,o=grooftys'
00000030: 103C 39A8 D865 3B22 64D6 00B0 6B97 23B6 '<.(9eX";Vd0..k6#'
00000040: 79AA 63 '*yc'
[0788:0013-0494] SSO API> -Creation Ticks = 436B6D4D [11/04/2005 09:16:45 AM].
[0788:0013-0494] SSO API> -Expiration Ticks = 436B7455 [11/04/2005 09:46:45 AM].
[0788:0013-0494] SSO API> -Username = uid=DieterStalder,o=groofty

В примере 6.7 показано имя пользователя Domino, указанное в первой позиции имени пользователя в документе Person (CN=Dieter Stalder).

[084C:0013-00F4] SSO API> Dumping memory of decoded token [68 bytes].
00000000: 0100 0302 3334 4236 4536 3341 3334 4236 '....436B6EA3436B'
00000010: 3537 4241 4E43 443D 6569 6574 2072 7453 '75ABCN=Dieter St'
00000020: 6C61 6564 2F72 3D4F 6954 6174 696E 6D75 'alder,O=Titanium'
00000030: A9BD EB3C 4E7B 11BD 35CD 0BC9 AD4B C1C0 '=)<k{N=.M5I.K-@A'
00000040: 9A29 3D59 ').Y='
[084C:0013-00F4] SSO API> -Creation Ticks = 436B6EA3 [11/04/2005 09:22:27 AM].
[084C:0013-00F4] SSO API> -Expiration Ticks = 436B75AB [11/04/2005 09:52:27 AM].
[084C:0013-00F4] SSO API> -Username = CN=Dieter Stalder,O=Titanium