Autor Thema: Web-SSO über mehrere DNS-Namen  (Gelesen 4489 mal)

Offline matze79

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 587
  • Ich liebe dieses Forum!
Web-SSO über mehrere DNS-Namen
« am: 13.02.06 - 21:06:18 »
Hallo,

das Web-SSO funktioniert, wenn man auf einen Server mit einem einmaligen DNS-Namen zugreift. Wenn man über einen anderen, oder direkt per IP-Adresse zugreift, kann man sich nicht anmelden.

Kann man das umgehen?
IBM Cerified System Administrator Lotus Notes and Domino 6/6.5
400 User, 10 Server, BES, Sametime und anderer Gimmicks

Offline Arno

  • Senior Mitglied
  • ****
  • Beiträge: 445
  • Geschlecht: Männlich
  • nur die Ruhe wir bekommen das schon hin ...
    • Gont
Re: Web-SSO über mehrere DNS-Namen
« Antwort #1 am: 14.02.06 - 11:05:05 »
Hallo,

es gibt da einiges was ich bei deiner Frage nicht verstehe.

DNS Namen, nun DNS Namen sind immer eindeuteige Namen, es sollte wohl keine 2 gleiche DNS Namen im Netz geben und da ist es egal ob das Netz das Internet ist oder ein Lokales Netzwerk.

Es sollte auch möglich sein sich bei deinem server ueber die IP Adresse anzuzmelden,
kannst ja mal versuchen dich bei einer datenbank auf welche du zugriff hast einzuloggen, wie gesagt das sollte eigentlich immer gehen.

Was den anderen Server angeht, so sollte der Durchgangsserver das recht haben auf den anderen server zuzugreifen und man sollte das recht haben Über den durchgangsserver den anderen Server zu erreichen.

Das einzige problem was mir in dem zusammenhang bekannt ist das eine SSL anmeldung fehler aufzeigt wenn die URL nicht mit der im Zertifikat uebereinstimmt,
das passiert zum beispiel wenn du per IP zugreifst.

Es währe daher schon intressant zu wissen wie die ganze sache eufgebaut und eingerichtet wurde.

Sind gegenzertifikate Erstellt worden ?
Ist SSL dabei im einsatz ?
ist SSO auf beiden Server eingeschaltet ?
Ist der Zielserver als erlaubte weiterleitung eingerichtet ?
Darf der User über den Durchgangsserver auf den anderen zugreifen ?
Befinden sich beider Server im gleichen Notes Netz ?
Haben die User das recht den Entsprechenden Server überhaupt zu Benutzen ?
Blockt eine Firewall die Verbindung der beiden Server ?
Wie sind die Gruppen und die User geflegt ( Kaskadierte Adressbücher ?) ?


mfg

Gont
IBM Certified System Administrator
IBM Certified Associate System Administrator
=================================================
R 7.0.3 (aussterbend) bis 8.Aktuell (gesammt ca. 150 Dominos auf der welt verteilt, schwerpunkt allerdings in Deutschland)

Offline m3

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.102
  • Geschlecht: Männlich
  • Non ex transverso sed deorsum!
    • leyrers online pamphlet
Re: Web-SSO über mehrere DNS-Namen
« Antwort #2 am: 14.02.06 - 11:13:01 »
Aus der Admin-Hilfe:
Zitat
Multi-server session-based authentication, also known as single sign-on (SSO), allows Web users to log in once to a Domino or WebSphere server, and then access any other Domino or WebSphere servers in the same DNS domain that are enabled for single sign-on (SSO) without having to log in again.

Daher: Wenn beide Server in der selben DNS-Domain sind (server01.example.com und server02.example.com) UND die Multi-server session-based authentication aktiviert ist, dann funktioniert es. Wenn Du auf die IP-Adressen gehst oder die Server in unterschiedlichen DNS-Domains sind (server01.example.com und server02.beispiel.de), dann klappts nicht.
HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai

Offline DigitDani

  • Senior Mitglied
  • ****
  • Beiträge: 466
  • Geschlecht: Männlich
    • panagenda
Re: Web-SSO über mehrere DNS-Namen
« Antwort #3 am: 14.02.06 - 11:50:19 »
Hi,

ich habe das eher so verstanden, dass es sich bei Matze um einen einzigen Server dreht, welchen er über verschiedene DNS-Namen, oder die IP ansprechen will. Der Login funktioniert aber nur beim Aufruf über einen bestimmten DNS-Namen.... liege ich da richtig, Matze?

Den Ausdruck "Web-SSO" hättest Du dann etwas unglücklich verwendet, denn dieser bezieht sich nur auf "Multi-server session-based authentication". Was Du dann meinst wäre lediglich "Single-Server Session Authentication"

Wenn dem so ist... so ganz tief drin bin ich in diesem Thema nicht... aber es müsste funktionieren, wenn man für jeden der DNS-Namen des Servers und für die IP jeweils ein WebSite-Dokument anlegt, und jeweils die Single-Server Session Authentifizierung aktiviert.

Kann natürlich auch falsch liegen  ;)

Grüße

Daniel
Viele Grüße
Daniel

Offline m3

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.102
  • Geschlecht: Männlich
  • Non ex transverso sed deorsum!
    • leyrers online pamphlet
Re: Web-SSO über mehrere DNS-Namen
« Antwort #4 am: 14.02.06 - 11:54:03 »
Wenn dem so ist... so ganz tief drin bin ich in diesem Thema nicht... aber es müsste funktionieren, wenn man für jeden der DNS-Namen des Servers und für die IP jeweils ein WebSite-Dokument anlegt, und jeweils die Single-Server Session Authentifizierung aktiviert.
Klingt gut!  :D
HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai

Offline matze79

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 587
  • Ich liebe dieses Forum!
Re: Web-SSO über mehrere DNS-Namen
« Antwort #5 am: 14.02.06 - 13:28:48 »
Vielen Dank für die Antworten!


Ich hole wohl besser ein bisschen aus:

Ich habe einen Sametime-Server mit einer internen IP-Adresse. Dieser steht nicht in der DMZ, soll aber von extern erreichbar sein. Also habe ich das kurzerhand über ein Portforwarding auf einem Gateway realisiert. Somit ist der Port 443 über zwei DNS-Namen erreichbar:

st1.lan.mycomp.de und mail.mycomp.de (st1.lan.mycomp.de ist der primäre Name)

Damit man im Notes kein Samtime-Passwort eingeben muss, habe ich nur auf diesem System Web-SSO aktivieren müssen. Wenn ich mich nun im Browser für eine Online-Konferenz auf mail.mycomp.de anmelden will, kann ich mich nicht authentifizieren. Per st1.lan.mycomp.de geht alles.

Ich werde das mit den VHost mal gleich probieren.
IBM Cerified System Administrator Lotus Notes and Domino 6/6.5
400 User, 10 Server, BES, Sametime und anderer Gimmicks

Offline m3

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.102
  • Geschlecht: Männlich
  • Non ex transverso sed deorsum!
    • leyrers online pamphlet
Re: Web-SSO über mehrere DNS-Namen
« Antwort #6 am: 14.02.06 - 13:34:02 »
So kanns auch nicht klappen, da lan.mycomp.de != mycomp.de. Sie müssen beide in der GLEICHEN DNS-Domain sein.

Mit st1.mycomp.de und mail.mycomp.de sollte es klappen.
HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai

Offline matze79

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 587
  • Ich liebe dieses Forum!
Re: Web-SSO über mehrere DNS-Namen
« Antwort #7 am: 14.02.06 - 13:39:08 »
Sollte es nicht mit LtpaToken DNS=mycomp.de gehen?

IBM Cerified System Administrator Lotus Notes and Domino 6/6.5
400 User, 10 Server, BES, Sametime und anderer Gimmicks

Offline matze79

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 587
  • Ich liebe dieses Forum!
Re: Web-SSO über mehrere DNS-Namen
« Antwort #8 am: 14.02.06 - 20:16:32 »
Ich habe nun ein bisschen mit SSO rumgespielt. Meine Ergebnisse:

Das automatisches Anmelden am Sametime in Notes geht nur, wenn der
DNS-Name vom Home-Server und vom Sametime-Server mit dem des LTPA-Tockens übereinstimmen. Wenn dies der Fall ist, kann man in der Arbeitsumgebung unter Sametime angeben was man will, hauptsache der Server wird gefunden. Es muss nur im Sametime-Server SSO eingestellt werden.

Homemail: domino.lan.comp.de
Sametime: sametime.lan.comp.de
LTPA-DNS: .lan.comp.de

Über Web ist nun auch der Zugriff über beliebigen DNS-Namen innerhlab der Domäne möglich, z.B. st1.lan.comp.de, st2.lan.comp.de, etc.
Ein direktes Login über die IP-Adresse oder andere DNS-Name ist nicht möglich.
IBM Cerified System Administrator Lotus Notes and Domino 6/6.5
400 User, 10 Server, BES, Sametime und anderer Gimmicks

Offline hallo.dirk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 2.166
  • Geschlecht: Männlich
  • Admin forever ;)
Re: Web-SSO über mehrere DNS-Namen
« Antwort #9 am: 14.02.06 - 20:35:42 »
Zitat
Ein direktes Login über die IP-Adresse oder andere DNS-Name ist nicht möglich.

The DNS domain that applies to the participating SSO servers is specified in the SSO configuration document. URLs issued to servers configured for single sign-on must specify the full DNS server name, not the host name or IP address. For browsers to be able to send cookies to a group of servers, the DNS domain is included in the cookie (as specified by the configuration), and the DNS domain in the cookie must match the server URL. This is why cookies cannot be used across TCP/IP domains.


Das LPTA Token muss den kleinsten gemeinsamen Nenner haben, dann klappt es auch aus dem Internet, wenn die Interne DNS Domain= der Externen ist klappt es.

Gruss
Dirk

------------------------------------------------------------
Sametime
Traveler
IQ Suite von Group Technologies
Marvel Client von Panagenda
Blackberry Enterprise
FIRM von HASDL 
BELOS von Bechtle
mobile.profiler (MDM) und traveler.rules von Midpoints

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz