【IT168 技术文档】第一部分链接:http://tech.it168.com/m/2007-12-29/200712291427360.shtml
IBM WebSphere Portal 6 与 IBM Domino 8实现单点登录配置方法
配置 WebSphere Portal 和 Lotus Domino 之间的单点登录
在 IBM WebSphere Portal 和 IBM Lotus Domino 服务器之间配置单点登录(SSO)功能,以便所有的 Domino 及其扩展产品 portlet 具有相同的认证方式。用户可以登录到门户网站中,然后访问包含 Lotus Domino 应用程序或服务信息的portlet,而无需输入用于认证的其他凭证。
在portal6.0.1.1中Domino-WebSphere Portal 集成向导可为您完成此任务中的多个部分。例外情况是为 Lotus QuickPlace 创建定制登录表单、禁止匿名访问以提高 SSO 安全性,以及执行三个测试与检查过程(运行向导后手动执行这些操作)。另外,协调整个 Lotus Domino 上和其他 LDAP 目录的 SSO 和启用第三方认证服务器也不包含在此向导过程中,此向导仅集成一个 Lotus Domino LDAP 目录。
了解单点登录
• 非常好的做法是安装并配置所有 Lotus Domino 服务器,然后为所有这些服务器启用单点登录。例如,安装并配置用于 Lotus Domino 消息传递/应用程序服务器的服务器,以及用于 Lotus QuickPlace 和 Lotus Sametime 的服务器,然后启用单点登录。
• 参与单点登录的所有服务器必须在同一因特网域中。
• 要启用单点登录,必须启用在 WebSphere Application Server 和 Lotus Domino 中包含的 IBM LTPA 功能。 WebSphere Application Server 生成的 WebSphere LTPA 令牌会导入到 Lotus Domino 中,而且此令牌可用于 Lotus Domino 域中的所有服务器。
• 要跨多个 Lotus Domino 域启用单点登录,请将相同的 WebSphere LTPA 令牌导入到那些 Lotus Domino 域中。
注:portal 6.0.1.1 Domino-WebSphere Portal 集成向导无法集成多个 Lotus Domino 域中的服务器。
• 每个 Lotus Domino 域的一个 Web SSO 配置文档可以被复制到此域中所有其他 Lotus Domino 服务器,但是必须分别为 Domino 域中每台服务器启用多服务器认证。
• 如果门户网站针对多个域配置,那么可能需要其他配置。请参阅相关概念下故障诊断主题中的问题:门户网站配置成使用多个域时单点登录可能会失败。
以下配置 SSO 的任务集假设 Lotus Domino 中没有 Web SSO 配置文档。开始 SSO 任务之前,要查看文档是否存在以及它是否包含必需的 WebSphere LTPA 密钥文件,请执行以下步骤:
1. 在 Lotus Notes 客户机中,打开要在单点登录中包含的 Domino 服务器(例如,Domino 消息传递/应用程序服务器,或者运行 Lotus QuickPlace 或 Lotus Sametime 的 Domino 服务器)上的 NAMES.NSF 文件。
2. 单击配置 > Web > Web 配置打开“Web 配置”视图。 如果您看到 -Web SSO 配置- 三角以及用于 LTPA 文档的 Web SSO 配置,那么 Web SSO 配置文档已存在。
3. 如果该文档存在,并且已包含 WebSphere LTPA 密钥,请执行以下步骤:
a. 在创建该文档的服务器上打开它,并将您要包含在单点登录中的 Lotus Domino 服务器的名称添加到该文档中的 Domino 服务器名称字段。
b. 通过在源服务器(添加了新服务器名称的服务器)上的 Lotus Domino 服务器控制台上输入以下命令,将更改复制到门户网站站点中的所有其他 Lotus Domino 服务器:
rep server_name/org_name names.nsf
c. 要使更改生效,重新启动在其上输入了该命令的 Lotus Domino 服务器。
d. 转至测试单点登录,而不要执行以下部分中的其他单点登录配置任务。
4. 如果 Web SSO 配置文档不存在或包含不同的密钥,或者您不确定它是否与从 WebSphere Portal 服务器导出的密钥相同,请执行以下步骤:
a. 查找包含此密钥的文档。
b. 将文档中列出的每个加入服务器的会话认证设置为“已禁用”。
c. 删除包含此密钥的文档,或者将其备份在除“LtpaToken”之外的其他名称下。
d. 将此更改复制到您门户网站站点中所有其他 Lotus Domino 服务器(如上所述)。
e. 通过执行下列用于配置单点登录的所有任务,重新获得密钥。
以下任务配置 WebSphere Portal 和 Lotus Domino 之间的单点登录(SSO)。
要在单点登录中包含正在运行 Lotus QuickPlace 或 Lotus Sametime 的 Lotus Domino 服务器,请执行所有任务。要包含 Lotus Domino 消息传递/应用程序服务器,请执行除支持 Inline QuickPlace 之外的所有任务。
如果门户网站服务器使用的 LDAP 目录不是 Lotus Domino,但 Collaborative Services 使用的是 Lotus Domino LDAP,那么执行最后一项任务。
任务核对表
1. 通过WebSphere 控制台生成 LTPA密钥匙
从门户网站服务器检索 WebSphere LTPA 密钥,从而可以在运行 Domino 扩展产品的 IBM Lotus Domino 服务器上使用此密钥,并且您将为 Domino 扩展产品配置单点登录(例如 IBM Lotus QuickPlace®、IBM Lotus Sametime 或消息传递/应用程序服务器上的 Lotus Domino)。
2. 将 WebSphere LTPA 密钥导入到 Lotus Domino
在运行 Domino 及其扩展产品或应用程序的 IBM Lotus Domino 服务器(例如,Lotus Domino 后端消息传递服务器、IBM Lotus Sametime 或 IBM Lotus QuickPlace 服务器)上创建 Web SSO 配置文档。然后将从 IBM WebSphere Portal 服务器检索到的 WebSphere LTPA 密钥导入到文档中,从而同一令牌可用于在这两台服务器上进行单点登录。
3. 启用多服务器 SSO 认证
当您在 Lotus Domino 服务器和 WebSphere Portal 服务器之间启用多服务器 SSO 认证时,Lotus Domino 可以通过检查 LTPA 令牌在 Web 浏览器中认证用户。
4. 通过阻止对 HTML 文件的匿名访问增强 SSO 安全性
您可以修改 NOTES.INI 文件来阻止对 HTML 目录中文件的匿名访问。当在 NOTES.INI 文件中将 NoWebFileSystemACLs 参数设置为等于 1 时,将阻止对 IBM Lotus Domino 服务器上 HTML 目录中所提供文件的匿名访问,从而增强了单点登录认证方法的安全性和可信度。
通过WebSphere 控制台创建 LTPA 密钥
从门户网站服务器检索 WebSphere LTPA 密钥,从而可以在运行 Domino 扩展产品的 IBM Lotus Domino 服务器上使用此密钥,并且您将为 Domino 扩展产品配置单点登录。
如果在门户网站站点中配置的 IBM WebSphere Application Server 发行版为 6.0.2.9 或更高版本,请在检索用于单点登录的 LTPA 密钥之前禁用 Web 入站安全性属性传播选项,操作过程如下所述。有关此功能的详细信息。
请执行以下步骤:
1. 在 WebSphere Application Server 上,启动管理控制台并登录。
2. 选择安全性 > 全局安全性。
3. 在认证下,单击认证机制 > LTPA。
4. 在其他属性(右侧)下,单击单点登录(SSO)。
5. 确保未选中 Web 入站安全属性传播。如果您必须对它进行更改,请单击应用
6. 单击 LTPA 链接,返回到“配置”选项卡。
7. 在密码字段中输入密码,并在密钥文件名字段中输入名称、路径和文件名。
提示: 记下该密码;在下一个 SSO 任务中,当把 LTPA 密钥导入 Lotus Domino 服务器时将需要该密码。
8. 单击导出密钥按钮。
9. 如果进行了更改,单击保存以将更改应用到主配置,然后在下一屏幕上再次单击保存。
10. 从管理控制台注销。
11. 将导出过程中创建的密钥文件复制到 Lotus Domino 服务器可以访问的位置。
将 WebSphere LTPA 密钥导入到 Lotus Domino
在运行 Domino 及其扩展产品或应用程序的 IBM Lotus Domino 服务器(例如,Lotus Domino 后端消息传递服务器、IBM Lotus Sametime 或 IBM Lotus QuickPlace 服务器)上创建 Web SSO 配置文档。然后将从 IBM WebSphere Portal 服务器检索到的 WebSphere LTPA 密钥导入到文档中,从而同一令牌可用于在这两台服务器上进行单点登录。
请执行以下步骤:
1. 使用这两台服务器上的文件系统,将在执行上一主题的任务时从门户网站服务器检索到的密钥文件复制到 Lotus Domino 服务器,从而使该文件可以导入。
2. 在 Lotus Domino 服务器上,启动 Lotus Domino 管理客户机。
3. 打开 Domino 目录(NAMES.NSF)数据库。
4. 单击左侧的配置 > 服务器 > 所有服务器文档。
5. 单击右侧的 Web 操作按钮,并从下拉菜单中选择创建 Web SSO 配置。
6. 在字段 DNS 域中输入域后缀。它应该与您在门户网站服务器中输入的域名匹配。
注: 域后缀是域地址的一部分,对于您想包含在单点登录中的所有 Domino 服务器,域地址是公共的,包括句点。例如,名为 sales.renovationscorp.com 的服务器的域后缀是 renovationscorp.com
7. 在“Domino 服务器名”字段中添加将参与 SSO 域的 Lotus Domino 服务器的 Domino 分层名称。 例如,sales/renovationscorp。
注: 无需输入 WebSphere Application Server 的名称。
8. 从“密钥”菜单中选择导入 WebSphere LTPA 密钥,然后单击确定。
9. 输入 LTPA 密钥文件的路径和名称,然后单击确定。
10. 输入 LTPA 密钥的密码,然后单击确定。
11. 当出现消息通知您密钥导入成功完成时,请单击确定。
12. 单击保存并关闭。
启用多服务器 SSO 认证
当您在 Lotus Domino 服务器和 WebSphere Portal 服务器之间启用多服务器 SSO 认证时,Lotus Domino 可以通过检查 LTPA 令牌在 Web 浏览器中认证用户。
请执行以下步骤:
1. 在您要包含在单点登录中的 Lotus Domino 服务器上,启动 Lotus Domino Administrator 客户机软件,并打开服务器文档。
2. 单击因特网协议选项卡,然后单击 Domino Web 引擎选项卡。
3. 在会话认证旁边,选择多服务器(SSO)。
4. 在 Web SSO 配置下,选择 LTPA 令牌。
5. 如果服务器正在运行 IBM® Lotus® QuickPlace®,那么在 Java Servlet 支持下,选择 Domino Servlet 管理器。
注: 此设置无需支持 SSO,但 SSO 是其先决条件。Domino Servlet 管理器帮助提供支持 Lotus QuickPlace portlet 的 QPServlet。
6. 单击保存并关闭。
7. 退出 Lotus Domino Administrator 客户机,并重新启动 Lotus Domino 服务器。
8. 如果“Domino 服务器名”字段包含多个服务器名,请执行以下步骤,将此新文档复制到您的门户网站站点中的每个 Lotus Domino 服务器:
a. 要将更改复制到所有 Lotus Domino 服务器,在命令行中输入以下内容:rep server1/yourorg names.nsf。
b. 复制完成后,重新启动每个包含新 Web SSO 配置文档的 Lotus Domino 服务器
为 Lotus Domino测试单点登录
使用 Web 浏览器转至可以在其中测试门户网站服务器与 IBM Lotus Domino服务器之间单点登录操作的 Web 页面。
请执行以下步骤:
1. 在 Lotus Domino 服务器的 Domino_data_root 目录中创建测试数据库 test.nsf,并将访问控制表(ACL)中的 _Default_ 和匿名访问项设置为“无访问”。
2. 登录到 IBM WebSphere® Portal。
3. 执行以下某个操作:
o 要测试 Lotus Domino,将浏览器中的 URL 更改为 http://your_domino_server.your_domain.com/test.nsf。
您的用户名应当出现在浏览器页面的左上角。如果您的用户名未出现,或者如果在 Lotus Domino 服务器上看到登录屏幕,那么说明单点登录没有起作用。请阅读以下技术说明以获取更多信息:
Domino 集成 portlet
此 Domino 及其扩展产品 portlet 提供对各种应用程序(如电子邮件、日历、任务列表、讨论、团队工作室、联系人、即时消息传递、团队协作和文档管理)的访问权。这些 portlets 位于 IBM WebSphere Portal 的 Domino 集成页面上。它们原来称为“协作”portlet 并描述为隶属于 Lotus 协作中心。
Portal 与Domino 服务器配置要求:
IBM WebSphere Portal 服务器器配置:
IBM WebSphere Portal 6.0 升级到6.0.1.1。
IBM WebSphere Portal 是单个服务器,没有加入集群成员
IBM WebSphere Portal没有采用TAM ,SiteMinder等安全配置。
IBM WebSphere Portal服务器已经配置完采用Domino LDAP进行安全认证,Portal服务器必须启动安全。
Louts Domino服务器要求:
1.Lotus Domino server 8.0
2.Louts domino 启用LDAP 配置。
3.HTTP HTTS 服务已经配置完成。
4.Lotus Domino Server DWA已经配置完成。
5.Lotus Samteime服务器版本应该在7.5之上。
在Domino Portal配置向导运行之前,需要完成下面这些任务:
1.单点登录(SSO)
导入LTPA 证书
在Lotus Domino上创建SSO文档,
2.Louts Sametime
配置与Domino服务器的在线感知功能。
在stcenter.nsf上设置信任服务器
3.Lotus Domino目录
SSO,DIIOP
4.配置domino使用LDAP目录服务器。
Lotus Domino 邮件服务器
SSO,DIIOP,NOTES.INI, 设置HTTP,启动XML服务。
验证下属参数是否配置正常。
检查参数确认后,开始运行配置向导配置服务器。
1.在服务器上启动命令行窗口,在portal_server_root\config\wizard目录下中输入dpiwiz.bat命令并回车键。
2.系统会启动DPI配置向导,一个欢迎窗口会在服务器上弹出。点击“Next”继续。
3.向导要求输入WebSphere Portal 用户名及密码,如下所示,点击“Next”继续。
4.配置服务器向导会问你是否配置Sametime 服务器在线感知功能,选择“Yes” 然后点击“Next”继续。
如果你服务器上没有部署Samteime 服务器,可以选No,继续进行。
5.选择Lotus Domino server运行Domino LDAP服务,Potal LDAP Server:la.itso.com。
6.要求你输入Domino 服务器运行时候使用的LDAP,HTTP,HTTPS端口号,点击“Next”继续。
7.要求你提供Domino管理员用户名及口令。管理员应该能管理访问Domino 目录服务器(NAMES.NSF)。点击“Next”继续。
8.需要选择“DELHIITSO:deihi.cam.itso.ibm.com:http:80,然后点击“Next”继续。
9.需要输入Lotus Samtimes 服务器详细的信息。然后点击“Next”继续。
10.需要输入Lotus Sametimes 服务器管理员及口令,如下,点击“Next”继续。
11.向导要求你输入WebSphere Portal 管理员的用户名及密码,输入后点击:Next
12.你等待系统处理完成后,显示下面窗口,配置向导完全配置成功。点击“finish”结束整个向导配置。
你通过浏览器访问portal,Http://localhost:10038/wps/portal,通过输入用户名密码,认证后,能看到下面内容。
你能看到通过portlet 能看到邮件的内容和sametime的在线感知功能。
并且可以通过其他portlet 进行查看单个NSF库的视图,个人日历等内容。
在配置过程中的日志文件可以在portal_server_root/log目录下面,dpitasks.log中的内容记录了你整个向导配置的日志信息。
IBM WebSphere Portal 6 集成IBM Domino 8 和 Samtime 7.5.1 服务器到这里配置完成。
测试配置
1. 打开浏览器
2. 输入 http://localhost:10038/wps/portal
3. 使用管理员或其他用户登录
4. 在portal页面中找到Domino Integration --> My work 页面. 能够看到很多DWA portlet。
5. 在portal页面中Domino Integration页面中的 My team子页面中. 可以显示出登录的用户名。
6. 在 Messaging --> mail 页面能看到邮件portlet。
7. 在Messaging --> Calendar 页面,能看到日历portlet。
8. 配置Notes视图portlet在Domino integration --> My databases page (登录做为管理员)
选择configure 在视图portlet中进行配置。
a. 点击“next”继续。
b. 点击“Add”添加Notes 视图。
c. 如果视图标题,选择Domino Server 点击 可以得到domino库。
d. 选择domino数据库,点击 按钮,得到相应的视图文件。
e. 选择一个视图继续。
f. 点击“next”
g. 选择所要显示的内容,点击“done”。
h. 点击“save”
i. 现在你能在portlet中看到Note 数据库。