Dalla release 8.5.1 è disponibile l'autenticazione integrato con Windows via SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism)
questa configurazione permette agli utenti web di collegarsi alle applicazioni senza dover inserire le proprie credenziali, garantendo comuque la sicurezza e l'identificazione dell'utente stesso.
Il processo di autenticazione avviene senza il passaggio di credenziali nella rete, qusto a garanzia del fatto che anche in caso di sniffing della rete, non vi sia nulla da “sniffare”.
Lo schema seguente illustra il processo di autenticazione.
I passi necessari alla configurazione sono pochi e semplici, in pochi minuti possiamo abilitare l'SSO tra Windows e Domino.
Nel caso descritto ho eseguito la configurazione utilizzando gli “Internet Sites”, definendo un virtual host specifico per l'ambiente di SSO.
Obbiettivo avere due domini distinti di SSO, in modo da non inficiare le configurazioni preesistenti.
Nell esempio il “dominio” net2action ammette l'SSO con Windows, mentre il dominio shamrock no
per farlo è necessario creare i rispettivi documenti di WebSSO Configuration
creare le relative Domino SSO key o importarel'LTPA WebSphere Key
in questo modo i due VH emetterano due distinte chiavi LTPA.
Ora è necessario creare un utente AD da utilizzare per lo start del server Domino e per mappare l'host di SSO.
Nel server AD con i Support tool installati eseguire il comando
SETSPN -a HTTP/
utilizzare l'FQDN che utilizzeranno gli utenti per raggiungere il server web.
Nel nostro caso
SETSPN -a HTTP/mail.net2action.com DomioStart
con li comando SETSPN -l
ora è necessario aggiungere al campo FullName del documeto persona dell'utente il proprio id Windwos nel formato
ovviamente non è difficile creare un agente che provveda alla mappatura, ma è più funzionale utilizzare un'Assembly Line di IDI, in modo che questa configurazione sia dinamica e pilotata dai cambiamenti efettuati in AD.
La configurazione è terminata. Per verificarla è sufficente collegarsi ad un pc nel domino, aprire un browser e chiamare il ns server domino, nell esempio:
ci sono alcuni flag del Notes.ini che ci aiutano nella verifica della configurazione, vediamoli:
Flag Notes.ini | Utilizzo | ||||||||
CONSOLE_LOG_ENABLED=1 | Abilita la registrazione di tutti gli output della console Debug_SSO_Trace_Level=2 | permette il debug del token SSO - dopo il riavvio dell' HTTP ("restart task http") | DEBUG_HTTP_SERVER_SPNEGO=5 | permette il debug del token SPNEGO - dopo il riavvio dell' HTTP ("restart task http") | webauth_verbose_trace=1 | Abilita il debug dell'autenticazione web per la risoluzione di mappatura dei nomi e DA a LDAP esterno - con effetto immediato | debug_outfile=c:\tmp\Spnegonotes.log | Abilita la trace SPNEGO in un file | |
I browser supportati sono:
IE 6,7,8
FF 4,5
Chrome non in modo esplicito, ma funzionicchia, per la mail solo UltraLite
la trace di connessione è la seguente:
.
..12:13:54 AM NOTES.INI contains the following *DEBUG* parameters:
08/25/2011 12:13:54 AM DEBUG_HTTP_SERVER_SPNEGO=5
08/25/2011 12:13:54 AM DEBUG_OUTFILE=c:\tmp\Spnegonotes.log
08/25/2011 12:13:54 AM DEBUG_SSO_TRACE_LEVEL=2
08/25/2011 12:13:54 AM Warning: Debug parameters could impact operation or performance.
08/25/2011 12:13:55 AM Contact your appropriate support vendor.
08/25/2011 12:13:55 AM The Console file is c:\tmp\Spnegonotes.log
08/25/2011 12:13:55 AM Console Logging is ENABLED
08/25/2011 12:18:54.00 AM [06A8:000B-0F3C] SPNEGO> Success calling native routine AcquireCredentialsHandleW
08/25/2011 12:18:54.00 AM [06A8:000B-0F3C] SPNEGO> Security token format received is SPNEGO NegTokenInit
08/25/2011 12:18:54.00 AM [06A8:000B-0F3C] SPNEGO> Success calling native routine AcceptSecurityContext
08/25/2011 12:18:54.00 AM [06A8:000B-0F3C] SPNEGO> SSPI security attributes received 0x803, but requested 0x20014
08/25/2011 12:18:54.00 AM [06A8:000B-0F3C] SPNEGO> Success calling native routine QueryContextAttributesW
08/25/2011 12:18:54.00 AM [06A8:000B-0F3C] SPNEGO> Success calling native routine QueryContextAttributesW
08/25/2011 12:18:54.00 AM [06A8:000B-0F3C] SPNEGO> Success calling native routine QueryContextAttributesW
08/25/2011 12:18:54.00 AM [06A8:000B-0F3C] SPNEGO> User p.rossi@SHAMROCK.COM authenticated by Kerberos service HTTP/mail.net2action.com@SHAMROCK.COM
08/25/2011 12:18:54.00 AM [06A8:000B-0F3C] SPNEGO> Success calling native routine QueryContextAttributesW
08/25/2011 12:18:54.00 AM [06A8:000B-0F3C] SPNEGO> Authenticated user is p.rossi@SHAMROCK.COM via MSIE 6.0
08/25/2011 12:18:54.00 AM [06A8:000B-0F3C] SSO API> *** Getting Single Sign-On Config Data (SECGetSSOConfigData) ***
08/25/2011 12:18:54.00 AM [06A8:000B-0F3C] SSO API> OrgName specified [net2action].
08/25/2011 12:18:54.00 AM [06A8:000B-0F3C] SSO API> ConfigName specified [LtpaTokenWin].
08/25/2011 12:18:54.01 AM [06A8:000B-0F3C] SSO API> Retrieved global static cache memory for config [net2action:LtpaTokenWin].
08/25/2011 12:18:54.01 AM [06A8:000B-0F3C] SSO API> *** Generating Single Sign-On Token List and retrieving token info (SECTokenListGenerateAndGetTokenInfo) ***
08/25/2011 12:18:54.01 AM [06A8:000B-0F3C] SSO API> OrgName specified [net2action].
08/25/2011 12:18:54.01 AM [06A8:000B-0F3C] SSO API> ConfigName specified [LtpaTokenWin].
08/25/2011 12:18:54.01 AM [06A8:000B-0F3C] SSO API> Retrieved global static cache memory for config [net2action:LtpaTokenWin].
08/25/2011 12:18:54.01 AM [06A8:000B-0F3C] SSO API> Setting token domain parameter [.net2action.com]
> 08/25/2011 12:18:54.01 AM [06A8:000B-0F3C] SSO API> Creation time not specified, using current time [08/25/2011 12:18:54 AM].
08/25/2011 12:18:54.01 AM [06A8:000B-0F3C] SSO API> Expiration time not specified, using current time plus config expiration [08/25/2011 12:48:54 AM].
08/25/2011 12:18:54.01 AM [06A8:000B-0F3C] SSO API> Setting token name parameter [LtpaToken]
08/25/2011 12:18:54.01 AM [06A8:000B-0F3C] SSO API> Encoding Domino style Single Sign-On token.
08/25/2011 12:18:54.01 AM [06A8:000B-0F3C] SSO API> -Creation Ticks = 4E5578CE [08/25/2011 12:18:54 AM].
08/25/2011 12:18:54.01 AM [06A8:000B-0F3C] SSO API> -Expiration Ticks = 4E557FD6 [08/25/2011 12:48:54 AM].
08/25/2011 12:18:54.01 AM [06A8:000B-0F3C] SSO API> -Username = CN=Paolo Rossi/O=shamerock/C=IT
08/25/2011 12:18:54.01 AM [06A8:000B-0F3C] SSO API> Dumping memory of constructed token [71 bytes].
00000000: 0100 0302 4534 3535 3837 4543 4534 3535 '....4E5578CE4E55'
00000010: 4637 3644 4E43 503D 6F61 6F6C 5220 736F '7FD6CN=Paolo Ros'
00000020: 6973 4F2F 733D 6168 656D 6F72 6B63 432F 'si/O=shamerock/C'
00000030: 493D D954 8711 C966 72D9 BCDF F471 1E56 '=ITY..fIYr_
00000040: C4F7 88E4 EB05 69 'wDd..ki'
Quando non scrive per Dominopoint, Andrea Fontana lavora in TdBridge.
2 Commenti:
segnalo che senza la configurazione della sidurezza dei browser l'spnego, pur configurato correttamente su domino, non funziona.
allo scopo è kolto utile il link: { Link }
ciao! :-)
E' un piacere leggere su queste pagine delle righe scritte da braccia rubate a Websphere Portal!
Ottimo acquisto!
E' importante pubblicizzare queste features, che danno una marcia in piu' a Domino