【IT168 技术文档】第一部分链接：http://tech.it168.com/m/2007-12-29/200712291427360.shtml
IBM WebSphere Portal 6 与 IBM Domino 8实现单点登录配置方法

配置 WebSphere Portal 和 Lotus Domino 之间的单点登录

    在 IBM WebSphere Portal 和 IBM Lotus Domino 服务器之间配置单点登录（SSO）功能，以便所有的 Domino 及其扩展产品 portlet 具有相同的认证方式。用户可以登录到门户网站中，然后访问包含 Lotus Domino 应用程序或服务信息的portlet，而无需输入用于认证的其他凭证。 

    在portal6.0.1.1中Domino-WebSphere Portal 集成向导可为您完成此任务中的多个部分。例外情况是为 Lotus QuickPlace 创建定制登录表单、禁止匿名访问以提高 SSO 安全性，以及执行三个测试与检查过程（运行向导后手动执行这些操作）。另外，协调整个 Lotus Domino 上和其他 LDAP 目录的 SSO 和启用第三方认证服务器也不包含在此向导过程中，此向导仅集成一个 Lotus Domino LDAP 目录。 

    了解单点登录

• 非常好的做法是安装并配置所有 Lotus Domino 服务器，然后为所有这些服务器启用单点登录。例如，安装并配置用于 Lotus Domino 消息传递/应用程序服务器的服务器，以及用于 Lotus QuickPlace 和 Lotus Sametime 的服务器，然后启用单点登录。
• 参与单点登录的所有服务器必须在同一因特网域中。
• 要启用单点登录，必须启用在 WebSphere Application Server 和 Lotus Domino 中包含的 IBM LTPA 功能。 WebSphere Application Server 生成的 WebSphere LTPA 令牌会导入到 Lotus Domino 中，而且此令牌可用于 Lotus Domino 域中的所有服务器。
• 要跨多个 Lotus Domino 域启用单点登录，请将相同的 WebSphere LTPA 令牌导入到那些 Lotus Domino 域中。 

    注：portal 6.0.1.1 Domino-WebSphere Portal 集成向导无法集成多个 Lotus Domino 域中的服务器。
• 每个 Lotus Domino 域的一个 Web SSO 配置文档可以被复制到此域中所有其他 Lotus Domino 服务器，但是必须分别为 Domino 域中每台服务器启用多服务器认证。
• 如果门户网站针对多个域配置，那么可能需要其他配置。请参阅相关概念下故障诊断主题中的问题：门户网站配置成使用多个域时单点登录可能会失败。 

    以下配置 SSO 的任务集假设 Lotus Domino 中没有 Web SSO 配置文档。开始 SSO 任务之前，要查看文档是否存在以及它是否包含必需的 WebSphere LTPA 密钥文件，请执行以下步骤： 


    1. 在 Lotus Notes 客户机中，打开要在单点登录中包含的 Domino 服务器（例如，Domino 消息传递/应用程序服务器，或者运行 Lotus QuickPlace 或 Lotus Sametime 的 Domino 服务器）上的 NAMES.NSF 文件。 

    2. 单击配置 > Web > Web 配置打开“Web 配置”视图。 如果您看到 -Web SSO 配置- 三角以及用于 LTPA 文档的 Web SSO 配置，那么 Web SSO 配置文档已存在。 

    3. 如果该文档存在，并且已包含 WebSphere LTPA 密钥，请执行以下步骤： 

    a. 在创建该文档的服务器上打开它，并将您要包含在单点登录中的 Lotus Domino 服务器的名称添加到该文档中的 Domino 服务器名称字段。 

    b. 通过在源服务器（添加了新服务器名称的服务器）上的 Lotus Domino 服务器控制台上输入以下命令，将更改复制到门户网站站点中的所有其他 Lotus Domino 服务器：
rep server_name/org_name names.nsf 

    c. 要使更改生效，重新启动在其上输入了该命令的 Lotus Domino 服务器。 

    d. 转至测试单点登录，而不要执行以下部分中的其他单点登录配置任务。 

    4. 如果 Web SSO 配置文档不存在或包含不同的密钥，或者您不确定它是否与从 WebSphere Portal 服务器导出的密钥相同，请执行以下步骤： 

    a. 查找包含此密钥的文档。 

    b. 将文档中列出的每个加入服务器的会话认证设置为“已禁用”。 

    c. 删除包含此密钥的文档，或者将其备份在除“LtpaToken”之外的其他名称下。 

    d. 将此更改复制到您门户网站站点中所有其他 Lotus Domino 服务器（如上所述）。 

    e. 通过执行下列用于配置单点登录的所有任务，重新获得密钥。 

    以下任务配置 WebSphere Portal 和 Lotus Domino 之间的单点登录（SSO）。 

    要在单点登录中包含正在运行 Lotus QuickPlace 或 Lotus Sametime 的 Lotus Domino 服务器，请执行所有任务。要包含 Lotus Domino 消息传递/应用程序服务器，请执行除支持 Inline QuickPlace 之外的所有任务。
如果门户网站服务器使用的 LDAP 目录不是 Lotus Domino，但 Collaborative Services 使用的是 Lotus Domino LDAP，那么执行最后一项任务。 

    任务核对表 

    1. 通过WebSphere 控制台生成 LTPA密钥匙 

    从门户网站服务器检索 WebSphere LTPA 密钥，从而可以在运行 Domino 扩展产品的 IBM Lotus Domino 服务器上使用此密钥，并且您将为 Domino 扩展产品配置单点登录（例如 IBM Lotus QuickPlace®、IBM Lotus Sametime 或消息传递/应用程序服务器上的 Lotus Domino）。 

    2. 将 WebSphere LTPA 密钥导入到 Lotus Domino 

    在运行 Domino 及其扩展产品或应用程序的 IBM Lotus Domino 服务器（例如，Lotus Domino 后端消息传递服务器、IBM Lotus Sametime 或 IBM Lotus QuickPlace 服务器）上创建 Web SSO 配置文档。然后将从 IBM WebSphere Portal 服务器检索到的 WebSphere LTPA 密钥导入到文档中，从而同一令牌可用于在这两台服务器上进行单点登录。 

    3. 启用多服务器 SSO 认证 

    当您在 Lotus Domino 服务器和 WebSphere Portal 服务器之间启用多服务器 SSO 认证时，Lotus Domino 可以通过检查 LTPA 令牌在 Web 浏览器中认证用户。 

    4. 通过阻止对 HTML 文件的匿名访问增强 SSO 安全性 

    您可以修改 NOTES.INI 文件来阻止对 HTML 目录中文件的匿名访问。当在 NOTES.INI 文件中将 NoWebFileSystemACLs 参数设置为等于 1 时，将阻止对 IBM Lotus Domino 服务器上 HTML 目录中所提供文件的匿名访问，从而增强了单点登录认证方法的安全性和可信度。