SSO tra AD e Domino utilizzando SPNEGO - tutorial

TIPS ADMIN SPNEGO AD

  • 2 commenti
Come configurare il Windows single sign-on (SSO) per Web clients (SPNEGO) in un ambiente Domino peresistente


Dalla release 8.5.1 è disponibile l'autenticazione integrato con Windows via SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism)

questa configurazione permette agli utenti web di collegarsi alle applicazioni senza dover inserire le proprie credenziali, garantendo comuque la sicurezza e l'identificazione dell'utente stesso.


Il processo di autenticazione avviene senza il passaggio di credenziali nella rete, qusto a garanzia del fatto che anche in caso di sniffing della rete, non vi sia nulla da “sniffare”.

Lo schema seguente illustra il processo di autenticazione.
Image:SSO tra AD e Domino utilizzando SPNEGO - tutorial

I passi necessari alla configurazione sono pochi e semplici, in pochi minuti possiamo abilitare l'SSO tra Windows e Domino.

Nel caso descritto ho eseguito la configurazione utilizzando gli “Internet Sites”, definendo un virtual host specifico per l'ambiente di SSO.

Obbiettivo avere due domini distinti di SSO, in modo da non inficiare le configurazioni preesistenti.


Image:SSO tra AD e Domino utilizzando SPNEGO - tutorial


Nell esempio il “dominio” net2action ammette l'SSO con Windows, mentre il dominio shamrock no
per farlo è necessario creare i rispettivi documenti di WebSSO Configuration

Image:SSO tra AD e Domino utilizzando SPNEGO - tutorial


Image:SSO tra AD e Domino utilizzando SPNEGO - tutorial


creare le relative Domino SSO key o importarel'LTPA WebSphere Key

Image:SSO tra AD e Domino utilizzando SPNEGO - tutorial



in questo modo i due VH emetterano due distinte chiavi LTPA.

Ora è necessario creare un utente AD da utilizzare per lo start del server Domino e per mappare l'host di SSO.

Nel server AD con i Support tool installati eseguire il comando

SETSPN -a HTTP/

utilizzare l'FQDN che utilizzeranno gli utenti per raggiungere il server web.

Nel nostro caso

SETSPN -a HTTP/mail.net2action.com DomioStart

con li comando SETSPN -l verifichiamo la correttezza della configurazione, se servono si possono configurare più FQDN-


Image:SSO tra AD e Domino utilizzando SPNEGO - tutorial

ora è necessario aggiungere al campo FullName del documeto persona dell'utente il proprio id Windwos nel formato @  nel ns caso p.rossi@SHAMEROCK.COM


Image:SSO tra AD e Domino utilizzando SPNEGO - tutorial

ovviamente non è difficile creare un agente che provveda alla mappatura, ma è più funzionale utilizzare un'Assembly Line di IDI, in modo che questa configurazione sia dinamica e pilotata dai cambiamenti efettuati in AD.

La configurazione è terminata. Per verificarla è sufficente collegarsi ad un pc nel domino, aprire un browser e chiamare il ns server domino, nell esempio:


Image:SSO tra AD e Domino utilizzando SPNEGO - tutorial

Image:SSO tra AD e Domino utilizzando SPNEGO - tutorial

Image:SSO tra AD e Domino utilizzando SPNEGO - tutorial

ci sono alcuni flag del Notes.ini che ci aiutano nella verifica della configurazione, vediamoli:
Flag Notes.ini
Utilizzo
CONSOLE_LOG_ENABLED=1 Abilita la registrazione di tutti gli output della console \ \ \ \ IBM_Technical_Support \ \ console.log
Debug_SSO_Trace_Level=2 permette il debug del token SSO - dopo il riavvio dell' HTTP ("restart task http")
DEBUG_HTTP_SERVER_SPNEGO=5 permette il debug del token SPNEGO - dopo il riavvio dell' HTTP ("restart task http")
webauth_verbose_trace=1 Abilita il debug dell'autenticazione web per la risoluzione di mappatura dei nomi e DA a LDAP esterno - con effetto immediato
debug_outfile=c:\tmp\Spnegonotes.log Abilita la trace SPNEGO in un file




I browser supportati sono:

IE 6,7,8
FF 4,5
Chrome non in modo esplicito, ma funzionicchia, per la mail solo UltraLite

Image:SSO tra AD e Domino utilizzando SPNEGO - tutorial



la trace di connessione è la seguente:
.
..12:13:54 AM  NOTES.INI contains the following *DEBUG* parameters:
08/25/2011 12:13:54 AM          DEBUG_HTTP_SERVER_SPNEGO=5
08/25/2011 12:13:54 AM          DEBUG_OUTFILE=c:\tmp\Spnegonotes.log
08/25/2011 12:13:54 AM          DEBUG_SSO_TRACE_LEVEL=2
08/25/2011 12:13:54 AM  Warning: Debug parameters could impact operation or performance.
08/25/2011 12:13:55 AM  Contact your appropriate support vendor.
08/25/2011 12:13:55 AM  The Console file is c:\tmp\Spnegonotes.log
08/25/2011 12:13:55 AM  Console Logging is ENABLED
08/25/2011 12:18:54.00 AM [06A8:000B-0F3C] SPNEGO> Success calling native routine AcquireCredentialsHandleW
08/25/2011 12:18:54.00 AM [06A8:000B-0F3C] SPNEGO> Security token format received is SPNEGO NegTokenInit
08/25/2011 12:18:54.00 AM [06A8:000B-0F3C] SPNEGO> Success calling native routine AcceptSecurityContext
08/25/2011 12:18:54.00 AM [06A8:000B-0F3C] SPNEGO> SSPI security attributes received 0x803, but requested 0x20014
08/25/2011 12:18:54.00 AM [06A8:000B-0F3C] SPNEGO> Success calling native routine QueryContextAttributesW
08/25/2011 12:18:54.00 AM [06A8:000B-0F3C] SPNEGO> Success calling native routine QueryContextAttributesW
08/25/2011 12:18:54.00 AM [06A8:000B-0F3C] SPNEGO> Success calling native routine QueryContextAttributesW
08/25/2011 12:18:54.00 AM [06A8:000B-0F3C] SPNEGO> User p.rossi@SHAMROCK.COM authenticated by Kerberos service HTTP/mail.net2action.com@SHAMROCK.COM
08/25/2011 12:18:54.00 AM [06A8:000B-0F3C] SPNEGO> Success calling native routine QueryContextAttributesW
08/25/2011 12:18:54.00 AM [06A8:000B-0F3C] SPNEGO> Authenticated user is p.rossi@SHAMROCK.COM via MSIE 6.0
08/25/2011 12:18:54.00 AM [06A8:000B-0F3C] SSO API> *** Getting Single Sign-On Config Data (SECGetSSOConfigData) ***
08/25/2011 12:18:54.00 AM [06A8:000B-0F3C] SSO API> OrgName specified [net2action].
08/25/2011 12:18:54.00 AM [06A8:000B-0F3C] SSO API> ConfigName specified [LtpaTokenWin].
08/25/2011 12:18:54.01 AM [06A8:000B-0F3C] SSO API> Retrieved global static cache memory for config [net2action:LtpaTokenWin].
08/25/2011 12:18:54.01 AM [06A8:000B-0F3C] SSO API> *** Generating Single Sign-On Token List and retrieving token info (SECTokenListGenerateAndGetTokenInfo) ***
08/25/2011 12:18:54.01 AM [06A8:000B-0F3C] SSO API> OrgName specified [net2action].
08/25/2011 12:18:54.01 AM [06A8:000B-0F3C] SSO API> ConfigName specified [LtpaTokenWin].
08/25/2011 12:18:54.01 AM [06A8:000B-0F3C] SSO API> Retrieved global static cache memory for config [net2action:LtpaTokenWin].
08/25/2011 12:18:54.01 AM [06A8:000B-0F3C] SSO API> Setting token domain parameter [.net2action.com]
> 08/25/2011 12:18:54.01 AM [06A8:000B-0F3C] SSO API> Creation time not specified, using current time [08/25/2011 12:18:54 AM].
08/25/2011 12:18:54.01 AM [06A8:000B-0F3C] SSO API> Expiration time not specified, using current time plus config expiration [08/25/2011 12:48:54 AM].
08/25/2011 12:18:54.01 AM [06A8:000B-0F3C] SSO API> Setting token name parameter [LtpaToken]
08/25/2011 12:18:54.01 AM [06A8:000B-0F3C] SSO API> Encoding Domino style Single Sign-On token.
08/25/2011 12:18:54.01 AM [06A8:000B-0F3C] SSO API> -Creation Ticks   = 4E5578CE [08/25/2011 12:18:54 AM].
08/25/2011 12:18:54.01 AM [06A8:000B-0F3C] SSO API> -Expiration Ticks = 4E557FD6 [08/25/2011 12:48:54 AM].
08/25/2011 12:18:54.01 AM [06A8:000B-0F3C] SSO API> -Username         = CN=Paolo Rossi/O=shamerock/C=IT
08/25/2011 12:18:54.01 AM [06A8:000B-0F3C] SSO API> Dumping memory of constructed token [71 bytes].
00000000: 0100 0302 4534 3535 3837 4543 4534 3535   '....4E5578CE4E55'
00000010: 4637 3644 4E43 503D 6F61 6F6C 5220 736F   '7FD6CN=Paolo Ros'

00000020: 6973 4F2F 733D 6168 656D 6F72 6B63 432F   'si/O=shamerock/C'

00000030: 493D D954 8711 C966 72D9 BCDF F471 1E56   '=ITY..fIYr_
00000040: C4F7 88E4 EB05   69                       'wDd..ki'




Quando non scrive per Dominopoint, Andrea Fontana lavora in
TdBridge.

2 Commenti:

  • #1 Mirco 07/28/2014 1:32:34 PM

    segnalo che senza la configurazione della sidurezza dei browser l'spnego, pur configurato correttamente su domino, non funziona.

    allo scopo è kolto utile il link: { Link }

    ciao! :-)

  • #2 Matteo Bisi 08/25/2011 12:10:36 PM

    E' un piacere leggere su queste pagine delle righe scritte da braccia rubate a Websphere Portal!

    Ottimo acquisto!

    E' importante pubblicizzare queste features, che danno una marcia in piu' a Domino

Commenta articolo
 

Questo spazio web è stato creato da per un uso pubblico e gratuito. Qualsiasi tipo di collaborazione sarà ben accetta.
Per maggiori informazioni, scrivete a info@dominopoint.it

About Dominopoint
Social
Dominopoint social presence: