SSO - Frage wegen Authentifikation

[Tomz]

Hallo Leute,

wir haben heute auf einigen Servern SSO getestet und sind dabei auf ein kleines Problem gestoßen.

Erstmal zum Aufbau: In der "Web-SSO-Konfiguration für LtpaToken" haben wir im Feld Organisation nichts eingetragen (sonst würde man im Serverdokument die Web-SSO-Konfiguration nicht sehen), so dass man SSO auch über das Serverdokument aktivieren kann (ohne Internetsites). Wir konfigurieren SSO also nicht über "Internet-Konfigurationen aus Server-\Internet-Site-Dokumenten laden", sondern über den LtpaToken, den wir auf der Registerseite "Internet-Protokolle" --> "Web-SSO-Konfiguration" auswählen können.

Soweit so gut, SSO funktioniert. Nur: als URL müssen wir immer den Namen des Servers inkl. des DNS-Namens der Domain angeben. Es reicht also nicht, dass wir nur beispielsweise "http://server1/names.nsf" als URL eingeben, wir müssen "http://server1.entw.domain.de/names.nsf" verwenden. Wenn wir das nicht machen würden, würde die Authentifikation fehlschlagen, das heißt selbst bei korrektem User + Passwort bleibt man in der Anmeldemaske stehen.

Ich bin mir jetzt nicht sicher aber ich glaube, wenn wir SSO über Interntsites konfigurieren und im Serverdokument "Internet-Konfigurationen aus Server-\Internet-Site-Dokumenten laden" aktivieren würden, dann würde auch nur der Name des Servers ausreichen.

Kann man das auch bei unserer Konfiguration über den LtpaToken im Serverdokument (ich nenne es mal so) quasi vereinfachen?

[mcilly]

Ich hatte selbes Problem erst kürzlich als ich Sametime testweise auf ein und denselben Domino mit DWA installiert habe. Erst durch viel Lesen und Konfig Hin-/Her-drehen hats plötzlich funktioniert. Ich habe keine Ahnung welche Änderung dann den gew. Effekt gebracht hat, aber eine der Anleitungen hier im Forum wars.

Suche hier mal nach LtpaToken und lies dir die Hand voll Beiträge durch.

[Tomz]

Ihr habt aber für SSO nicht die Sitzungsauthentifizierung auf "Für jeden Server getrennt" eingestellt, oder? Denn damit würde es gehen, ist aber nicht so komfortabel wie "Serverübergreifend".

[mcilly]

Ich habe "Multiple Server (SSO)" konfiguriert, und den LtpaToken eingetragen, wenn du das meinst.

[Tomz]

Ich habe "Multiple Server (SSO)" konfiguriert, und den LtpaToken eingetragen, wenn du das meinst.

Ja das meine ich. Ich habe mal nach LtpaToken hier im Forum gefunden aber keinen einzigen Ansatzpunkt zu meinem Problem gefunden - verdammt!

[mcilly]

Ich glaube der Beitrag von we4co war es, der mir dann letztendlich geholfen hat. War ganz myteriös, ein paar Änderungen hin, her, Server neu gestartet und plötzlich gings.

http://atnotes.de/index.php?topic=41284.0we4co

[Tomz]

Ich glaube der Beitrag von we4co war es, der mir dann letztendlich geholfen hat. War ganz myteriös, ein paar Änderungen hin, her, Server neu gestartet und plötzlich gings.

http://atnotes.de/index.php?topic=41284.0we4co

Ok, ich habe testweise in das Web-SSO-Config-Dokument nachträglich wieder die Organisation eingetragen und den HHTP-Task neugestartet.
Erwartungsgemäß erhalte ich damit einige Fehlermeldungen: "Error loading Web SSO Configuration 'LtpaToken' (Single Sign-On configuration is invalid)", außerdem sagt mir der Notes-Client "Serverfehler: Konfiguration für einmalige Anmeldung ist ungültig" ... ich kann mich dann zwar nach Eingabe des PWs wieder anmelden aber der Fehler bleibt ja bestehen.

In den Serverdokumenten habe ich Serverübergreifend (SSO) weiterhin aktiviert aber das funktioniert (auch erwartungsgemäß) mit dem Namen der Domain im Feld Organisation nicht mehr. Ich kann mich aber mit kurzen Namen des Servers, also server1/names.nsf anmelden - das macht aber keinen Sinn, wenn das Serverübgreifend (SSO) nicht funktioniert, ich mich also an jeden Server einzeln authentifizieren muß.

Hast du denn mal probiert auf zwei Servern eine DB zu öffnen? Mußt du dich wirklich nur einmal authentifizieren? Ich kann mir das fast nicht vorstellen!?

Gibt es bei dir keine Fehlermeldung, wenn du den HTTP-Task neu startest?

[mcilly]

Nein, kein Fehler bez. SSO ersichtlich. Ich hatte mal 2 Server, einen virtualisiert. Jetzt nur noch den einen und darauf den Sametime testweise dazu (ist aber nicht supportet).

12.06.2008 13:04:26   HTTP Server: Using Web Configuration View
12.06.2008 13:04:36   JVM: Java Virtual Machine initialized.
12.06.2008 13:04:36   HTTP Server: Java Virtual Machine loaded
12.06.2008 13:04:36   HTTP Server: Failed to load DSAPI module dolextn
12.06.2008 13:04:36   Servlet engine initialization was successful
12.06.2008 13:04:37   HTTP JVM: com.lotus.sametime.configuration.DominoBootstrapServlet: init
12.06.2008 13:04:57   HTTP JVM: com.lotus.sametime.configuration.DominoConfigurationServlet: init
12.06.2008 13:05:04   HTTP JVM: com.lotus.sametime.admin.authentication.AccessControlServlet: init
12.06.2008 13:05:04   HTTP JVM: com.lotus.sametime.admin.DominoAdminXPathRequestServletJAXP: init
12.06.2008 13:05:04   HTTP JVM: com.lotus.sametime.meetingmanagement.remote.servlet.MMAPIServlet: init
12.06.2008 13:05:05   HTTP JVM: com.lotus.sametime.calendar.NotesCalendarServlet: init
12.06.2008 13:05:05   HTTP JVM: com.lotus.sametime.materials.servlets.FileUploadServlet: init
12.06.2008 13:05:05   HTTP JVM: com.lotus.sametime.materials.servlets.RAPFileServlet: init
12.06.2008 13:05:05   HTTP JVM: com.lotus.sametime.statistics.StatisticsServlet: init
12.06.2008 13:05:05   HTTP JVM: com.lotus.sametime.admin.policy.PolicyServlet: init
12.06.2008 13:05:06   HTTP JVM: com.lotus.sametime.admin.namechange.NameChangeServlet: init
12.06.2008 13:05:06   HTTP JVM: com.lotus.sametime.mtk.meeting.MeetingServlet: init
12.06.2008 13:05:06   HTTP JVM: com.lotus.sametime.telephonyservlet.TelephonyServlet: init
12.06.2008 13:05:16   HTTP JVM: com.ibm.sametime.userinfo.servlets.UserInfoServlet: init
12.06.2008 13:05:16   HTTP JVM: com.lotus.sametime.startup.SametimeStartupServlet: init
12.06.2008 13:05:18   HTTP Server: Started

[Tomz]

Nein, kein Fehler bez. SSO ersichtlich. Ich hatte mal 2 Server, einen virtualisiert. Jetzt nur noch den einen und darauf den Sametime testweise dazu (ist aber nicht supportet).

Ich frag jetzt nochmal zur Sicherheit: ihr habt wirklich im Feld Organisation Euren Namen jetzt auch noch eingetragen, das war also kein Test, sondern steht immernoch drin?

[mcilly]

Nein, das Feld "Organisation" ist leer. Das habe ich nur einmal gefüllt und wieder geleert, weil ich eben auch deine Probleme hatte. Plötzlich ging es und es geht jetzt immer noch so. Aber ich spreche hier von meinem privaten Server (also Test) und nicht von einem Produktivsystem.

[mcilly]

Aber was mir noch einfällt, stehen alle Server die du für SSO einrichten willst im selben DNS? Und hast du alle Server im Feld "Domino Server Names" eingetragen?

[Tomz]

Nein, das Feld "Organisation" ist leer.

Da bin ich irgendwie froh

Aber was mir noch einfällt, stehen alle Server die du für SSO einrichten willst im selben DNS? Und hast du alle Server im Feld "Domino Server Names" eingetragen?

Ja, die zwei Testserver stehen im gleichen DNS und sind beide auch im Web-SSO-Config-Dokument unter den "Teilnehmenden Servern" eingetragen.

[mcilly]

Hmmm, kannst du mal dein Log File des "Server Starts" hier posten? Der HTTP Teil ist natürlich der interessante Teil, und achte auf die Anonymisierung des Logs 

[Tomz]

Hmmm, kannst du mal dein Log File des "Server Starts" hier posten? Der HTTP Teil ist natürlich der interessante Teil, und achte auf die Anonymisierung des Logs 

So, lange hat´s gedauert aber jetzt jetzt endlich auch mal ein (gekürztes und anonymisiertes) Log (ohne AMgr, POP3 etc.)

23.06.2008 12:37:50   Lotus Domino (r) Server started, running Release 7.0.2
23.06.2008 12:37:50   HTTP Server: Using Web Configuration View
23.06.2008 12:37:50   Server started on physical node XXXXXXXX
23.06.2008 12:37:51   JVM: Java Virtual Machine initialized.
23.06.2008 12:37:51   HTTP Server: Java Virtual Machine loaded
23.06.2008 12:37:51   Servlet engine initialization was successful
23.06.2008 12:37:51   POP3 Server: Started
23.06.2008 12:37:51   DIIOP Server: Started
23.06.2008 12:37:51   HTTP JVM: com.lotus.sametime.configuration.DominoBootstrapServlet: init
23.06.2008 12:37:56   HTTP JVM: com.lotus.sametime.configuration.DominoConfigurationServlet: init
23.06.2008 12:38:01   Sametime Server: Starting services
23.06.2008 12:38:04   Sametime: Building service start order from dependencies...
23.06.2008 12:38:04   Sametime: Found event server service.
23.06.2008 12:38:04   Sametime: Starting services...
23.06.2008 12:38:04   Sametime: Starting event server service.
23.06.2008 12:38:07   HTTP JVM: com.lotus.sametime.admin.authentication.AccessControlServlet: init
23.06.2008 12:38:07   HTTP JVM: com.lotus.sametime.admin.DominoAdminXPathRequestServletJAXP: init
23.06.2008 12:38:07   HTTP JVM: com.lotus.sametime.meetingmanagement.remote.servlet.MMAPIServlet: init
23.06.2008 12:38:09   HTTP JVM: com.lotus.sametime.calendar.NotesCalendarServlet: init
23.06.2008 12:38:09   HTTP JVM: com.lotus.sametime.materials.servlets.FileUploadServlet: init
23.06.2008 12:38:09   HTTP JVM: com.lotus.sametime.materials.servlets.RAPFileServlet: init
23.06.2008 12:38:09   HTTP JVM: com.lotus.sametime.statistics.StatisticsServlet: init
23.06.2008 12:38:09   HTTP JVM: com.lotus.sametime.admin.policy.PolicyServlet: init
23.06.2008 12:38:09   HTTP JVM: com.lotus.sametime.admin.namechange.NameChangeServlet: init
23.06.2008 12:38:09   HTTP JVM: com.lotus.sametime.mtk.meeting.MeetingServlet: init
23.06.2008 12:38:10   HTTP JVM: com.lotus.sametime.telephonyservlet.TelephonyServlet: init
23.06.2008 12:38:11   Sametime: Starting service [Telephony Service].
23.06.2008 12:38:11   Sametime: Process 584 created.
23.06.2008 12:38:13   Sametime: Service [Telephony Service] started successfully.
23.06.2008 12:38:13   Sametime: Starting service [Java Services].
23.06.2008 12:38:13   Sametime: Process 3880 created.
23.06.2008 12:38:13   SchedMgr: Done validating schedule database
23.06.2008 12:38:14   Sametime: Service [Java Services] started successfully.
23.06.2008 12:38:14   Sametime: Starting service [Configuration Bridge].
23.06.2008 12:38:14   Sametime: Process 2836 created.
23.06.2008 12:38:17   Sametime: Service [Configuration Bridge] started successfully.
23.06.2008 12:38:17   Sametime: Starting service [Event Bridge].
23.06.2008 12:38:17   Sametime: Service [Event Bridge] started successfully.
23.06.2008 12:38:17   Sametime: Starting service [Logger].
23.06.2008 12:38:17   Sametime: Process 2860 created.
23.06.2008 12:38:18   Sametime: Service [Logger] started successfully.
23.06.2008 12:38:18   Sametime: Starting service [T.120 MCU].
23.06.2008 12:38:18   Sametime: Process 3380 created.
23.06.2008 12:38:20   HTTP JVM: com.ibm.sametime.userinfo.servlets.UserInfoServlet: init
23.06.2008 12:38:22   Sametime: Service [T.120 MCU] started successfully.
23.06.2008 12:38:22   Sametime: Starting service [Whiteboard Server].
23.06.2008 12:38:23   Sametime: Process 2484 created.
23.06.2008 12:38:23   Sametime: Service [Whiteboard Server] started successfully.
23.06.2008 12:38:23   Sametime: Starting service [Statistics Server].
23.06.2008 12:38:23   Sametime: Service [Statistics Server] started successfully.
23.06.2008 12:38:23   Sametime: Starting service [Shared Object Server].
23.06.2008 12:38:24   Sametime: Service [Shared Object Server] started successfully.
23.06.2008 12:38:24   Sametime: Starting service [Material Manager].
23.06.2008 12:38:24   Sametime: Process 3384 created.
23.06.2008 12:38:25   Sametime: Service [Material Manager] started successfully.
23.06.2008 12:38:25   Sametime: Starting service [Capacity Monitor].
23.06.2008 12:38:25   Sametime: Service [Capacity Monitor] started successfully.
23.06.2008 12:38:25   Sametime: Starting service [Calendar Service].
23.06.2008 12:38:25   Sametime: Service [Calendar Service] started successfully.
23.06.2008 12:38:25   Sametime: Starting service [Broadcast Gateway].
23.06.2008 12:38:25   Sametime: Process 1780 created.
23.06.2008 12:38:25   HTTP Server: Started
23.06.2008 12:38:26   Sametime: Service [Broadcast Gateway] started successfully.
23.06.2008 12:38:26   Sametime: Starting service [Broadcast Controller].
23.06.2008 12:38:26   Sametime: Process 2644 created.
23.06.2008 12:38:30   Sametime: Service [Broadcast Controller] started successfully.
23.06.2008 12:38:30   Sametime: Starting service [A/V MMP].
23.06.2008 12:38:30   Sametime: Process 4000 created.
23.06.2008 12:38:30   Sametime: Service [A/V MMP] started successfully.
23.06.2008 12:38:30   Sametime: Starting service [Interactive Streamed Media Service].
23.06.2008 12:38:31   Sametime: Service [Interactive Streamed Media Service] started successfully.
23.06.2008 12:38:31   Sametime: Starting service [H.323 MCU].
23.06.2008 12:38:31   Sametime: Process 4372 created.
23.06.2008 12:38:33   Sametime: Service [H.323 MCU] started successfully.
23.06.2008 12:38:33   Sametime: Starting service [Authentication Server].
23.06.2008 12:38:33   Sametime: Process 5552 created.
23.06.2008 12:38:33   Sametime: Service [Authentication Server] started successfully.
23.06.2008 12:38:33   Sametime: Starting service [Activity Provider].
23.06.2008 12:38:34   Sametime: Process 5268 created.
23.06.2008 12:38:34   Sametime: Service [Activity Provider] started successfully.
23.06.2008 12:38:34   Sametime: All services started successfully.
23.06.2008 12:38:34   Sametime: Server startup successful.
23.06.2008 12:38:49   Starting replication with server server/domain
23.06.2008 12:39:12   Sametime Server: Running

[Tomz]

Wir haben übrigens jetzt auch festgestellt, dass die HTTP-Sitzung für einen einzelnen Besitzer schon nach weniger als 30 Minuten abläuft, obwohl der Time-Out im Serverdokument auf 480 Minuten sitzt.
Wir haben den Time-Out auch schon in der Web-SSO-Konfiguartion deaktiviert oder hoch auf 480 Minuten gesetzt aber alles hat nichts geholfen. Die Session läuft für den Benutzer viel zu früh aus.