Domino 9 und frühere Versionen > ND6: Administration & Userprobleme

Web-SSO über mehrere DNS-Namen

<< < (2/2)

matze79:
Vielen Dank für die Antworten!


Ich hole wohl besser ein bisschen aus:

Ich habe einen Sametime-Server mit einer internen IP-Adresse. Dieser steht nicht in der DMZ, soll aber von extern erreichbar sein. Also habe ich das kurzerhand über ein Portforwarding auf einem Gateway realisiert. Somit ist der Port 443 über zwei DNS-Namen erreichbar:

st1.lan.mycomp.de und mail.mycomp.de (st1.lan.mycomp.de ist der primäre Name)

Damit man im Notes kein Samtime-Passwort eingeben muss, habe ich nur auf diesem System Web-SSO aktivieren müssen. Wenn ich mich nun im Browser für eine Online-Konferenz auf mail.mycomp.de anmelden will, kann ich mich nicht authentifizieren. Per st1.lan.mycomp.de geht alles.

Ich werde das mit den VHost mal gleich probieren.

m3:
So kanns auch nicht klappen, da lan.mycomp.de != mycomp.de. Sie müssen beide in der GLEICHEN DNS-Domain sein.

Mit st1.mycomp.de und mail.mycomp.de sollte es klappen.

matze79:
Sollte es nicht mit LtpaToken DNS=mycomp.de gehen?

matze79:
Ich habe nun ein bisschen mit SSO rumgespielt. Meine Ergebnisse:

Das automatisches Anmelden am Sametime in Notes geht nur, wenn der
DNS-Name vom Home-Server und vom Sametime-Server mit dem des LTPA-Tockens übereinstimmen. Wenn dies der Fall ist, kann man in der Arbeitsumgebung unter Sametime angeben was man will, hauptsache der Server wird gefunden. Es muss nur im Sametime-Server SSO eingestellt werden.

Homemail: domino.lan.comp.de
Sametime: sametime.lan.comp.de
LTPA-DNS: .lan.comp.de

Über Web ist nun auch der Zugriff über beliebigen DNS-Namen innerhlab der Domäne möglich, z.B. st1.lan.comp.de, st2.lan.comp.de, etc.
Ein direktes Login über die IP-Adresse oder andere DNS-Name ist nicht möglich.

hallo.dirk:

--- Zitat ---Ein direktes Login über die IP-Adresse oder andere DNS-Name ist nicht möglich.
--- Ende Zitat ---

The DNS domain that applies to the participating SSO servers is specified in the SSO configuration document. URLs issued to servers configured for single sign-on must specify the full DNS server name, not the host name or IP address. For browsers to be able to send cookies to a group of servers, the DNS domain is included in the cookie (as specified by the configuration), and the DNS domain in the cookie must match the server URL. This is why cookies cannot be used across TCP/IP domains.


Das LPTA Token muss den kleinsten gemeinsamen Nenner haben, dann klappt es auch aus dem Internet, wenn die Interne DNS Domain= der Externen ist klappt es.

Navigation

[0] Themen-Index

[*] Vorherige Sete