Domino 9 und frühere Versionen > ND8: Administration & Userprobleme

Zugriff auf iNotes via Reverse Proxy

<< < (2/3) > >>

TimDom:
Hi Thorsten,

wäre es wohl möglich, dass Du Deinen Kollegen "beauftragst"?
Denn irgendwie kommen wir nicht so ganz klar mit der Doku.

Nach wie vor haben wir - oder besser mein Kollege von der Securityabteilung - ein Problemchen mit der Namensauflösung.
In der von Deinem Kollegen genutzten Variante ist ja alles unter der Domäne acme.com erreichbar. Also sowohl der Reverse Proxy (mail.acme.com) als auch die Dominos (domino1.acme.com und domino2.acme.com …). Dahingehend ist ja auch das Web SSO Token ausgelegt. Also die Domäne acme.com

Nun sagt mein Kollege, dass es eigentlich nicht State of the Art ist, die internen Server mit "externer Domäne" (acme.com) erreichbar zu machen. Er sagt, die wären besser mit acme.local o.ä. erreichbar. So schaut es auch bei uns aus, dass die internen Server nicht mit der de Domäne erreichbar sind.

Allerdings wiederspricht dies ja dann der Config des SSO Tokens, als auch dem Szenario von Deinem Kollegen. Denn ein einfaches anpassen der Proxyconfig nach acme.local klappt dann nicht.

Es wäre cool, wenn er sich dem noch mal annehmen könnte.
Mein Dank wäre im Gewiss.

stoeps:
Das sollte aber eigentlich funktionieren! Der LtpaToken wird für die Domäne ausgestellt, die im Browser aufgerufen wird. Du musst nur sicherstellen, daß im SSO Doc auf der Domino Seite auch die externe Domäne aufgeführt ist. Theoretisch ist das ein Multivalue Feld und kann auch beide Domains enthalten, wird aber von IBM nicht supportet!

TimDom:
Hi stoeps,

von der Idee her hätte ich eigentlich auch gedacht, dass es funktioniert. Momentan sieht es so aus, dass wir das SSO Token auf die externe Domäne ausgerichtet haben. In der Apache Config ist auch alles so wie in der IBM Doku auf die externe Domäne eingetragen. Versuchsweise haben wir im DNS für unsere externe Domäne die internen IPs der Dominos eingetragen, da der Apache ja die Auflösung braucht.

Somit klappt alles.

Nun zu dem Versuch, die Domäne umzustellen. Da habe ich dann in der Apache Config die externe Domain durch die lokale Domain umgestellt.
Der Apache kann auch den internen DNS Server abfragen und daher die Server mit der internet Domain auflösen.

Melde ich mich nun mit einem User an, welche auf einen Server muss, welcher nicht der Anmeldeserver (domino1.acme.com) ist, so sehe ich auf dem Dominoserver domino1 folgende Meldung: 

02.05.2013 09:53:17   HTTP Web Server: Invalid URL Exception [/iwaredir.nsf?OpenDocument&Form=l_LoadingFrame&l=de&gz&CR&MX&TS=20130502T074443,69Z&charset=UTF-8&charset=UTF-8] CN=Test User/OU=Irgendwo/O=Org

Nur habe ich so keine Idee, warum die Meldung kommt.
Ist da in der SSO Config etwas unstimmig oder aber macht der Apache da etwas anders?

stoeps:
Hmm sieht so aus als wenn SSO funktioniert, sonst würde er den User nicht mitgeben. Welche Meldung kommt denn im Browser? Bzw in schreib doch mal die redirects in ein Logfile, vielleicht sieht man da mehr.

TimDom:
Hi,

in der iwaredir.nsf habe ich mal Debug eingeschaltet. Damit kommt dann die Seite zustande, welche ich mal als TXT Datei angehängt habe.

Das Apache Accesslog sagt das hier:


--- Code: --- - - [03/May/2013:07:17:36 +0200] "GET /domino1/mail/tuser.nsf?OpenDatabase HTTP/1.1" 200 2435
 - - [03/May/2013:07:17:36 +0200] "GET /iNotes/Forms85.nsf/iNotes/Proxy/?OpenDocument&Form=l_LoadingFrame&l=de&gz&CR&MX&TS=20130502T122042,38Z&charset=UTF-8&charset=UTF-8 HTTP/1.1" 500 804
 - - [03/May/2013:07:17:36 +0200] "GET /mail/tuser.nsf/iNotes/Proxy/?OpenDocument&Form=l_ScriptFrame&l=de&gz&CR&MX&TS=20130502T122042,38Z&charset=UTF-8&charset=UTF-8&ua=ie HTTP/1.1" 500 937
 - - [03/May/2013:07:17:36 +0200] "GET /mail/tuser.nsf/iNotes/Proxy/?OpenDocument&Form=l_SessionFrame&l=de&gz&MX&TS=20130502T212111,89Z&UNH=4ojf72uqn1qpn6qe6upnphplm1k&charset=UTF-8&KIC HTTP/1.1" 500 937
--- Ende Code ---

Wobei mich da die letzten beiden Einträge wundern. Denn da hätte ich eigentlich auf wieder /domino1 vor dem /mail erwartet.

Im Browser sieht der Benutzer die Meldung:

Fehler 500
HTTP Web Server: Ausnahme: Ungültige URL

Und im Log des Domino1 ist das hier zu finden:


--- Code: ---03.05.2013 07:21:39   HTTP Web Server: Invalid URL Exception [/iwaredir.nsf?OpenDocument&Form=l_LoadingFrame&l=de&gz&CR&MX&TS=20130502T122042,38Z&charset=UTF-8&charset=UTF-8] CN=Test User/OU=OU/O=ORG
03.05.2013 07:21:39   HTTP Web Server: Invalid URL Exception [/iwaredir.nsf?OpenDocument&Form=l_ScriptFrame&l=de&gz&CR&MX&TS=20130502T122042,38Z&charset=UTF-8&charset=UTF-8&ua=ie] CN=Test User/OU=OU/O=ORG
03.05.2013 07:21:39   HTTP Web Server: Invalid URL Exception [/iwaredir.nsf?OpenDocument&Form=l_SessionFrame&l=de&gz&MX&TS=20130502T212111,89Z&UNH=4ojf72uqn1qpn6qe6upnphplm1k&charset=UTF-8&KIC] CN=Test User/OU=OU/O=ORG
--- Ende Code ---

Trage ich in der Apache Konfig wieder die externe Domain bei den RewriteRules ein, so klappt wieder alles und das Apache log sieht so aus.
Also scheint das oben doch nicht verkehrt zu sein, dass da domino1 vor dem /mail/tuser.nsf fehlt.


--- Code: --- - - [03/May/2013:07:25:44 +0200] "GET /domino1/mail/tuser.nsf?OpenDatabase HTTP/1.1" 200 2433
 - - [03/May/2013:07:25:44 +0200] "GET /mail/tuser.nsf/iNotes/Proxy/?OpenDocument&Form=l_ScriptFrame&l=de&gz&CR&MX&TS=20130502T122042,38Z&charset=UTF-8&charset=UTF-8&ua=ie HTTP/1.1" 304 342
 - - [03/May/2013:07:25:44 +0200] "GET /iNotes/Forms85.nsf/iNotes/Proxy/?OpenDocument&Form=l_LoadingFrame&l=de&gz&CR&MX&TS=20130502T122042,38Z&charset=UTF-8&charset=UTF-8 HTTP/1.1" 304 208
 - - [03/May/2013:07:25:44 +0200] "GET /mail/tuser.nsf/iNotes/Proxy/?OpenDocument&Form=l_SessionFrame&l=de&gz&MX&TS=20130502T212111,89Z&UNH=4ojf72uqn1qpn6qe6upnphplm1k&charset=UTF-8&KIC HTTP/1.1" 200 1370
 - - [03/May/2013:07:25:44 +0200] "GET /mail/tuser.nsf/iNotes/Proxy/?OpenDocument&Form=f_ViewProfile&l=de&gz&MX&TS=20130502T212111,89Z&KIC&UNH=4ojf72uqn1qpn6qe6upnphplm1k&charset=UTF-8 HTTP/1.1" 200 859
 - - [03/May/2013:07:25:44 +0200] "GET /mail/tuser.nsf/iNotes/Proxy/?OpenDocument&Form=f_SessionInfo&l=de&gz&MX&TS=20130502T212111,89Z&KIC&UNH=4ojf72uqn1qpn6qe6upnphplm1k&charset=UTF-8 HTTP/1.1" 200 9793
 - - [03/May/2013:07:25:46 +0200] "GET /iNotes/Forms85.nsf/transparent.gif?OpenFileResource&MX&TS=20121107T181409,88Z HTTP/1.1" 304 300
 - - [03/May/2013:07:25:46 +0200] "GET /mail/tuser.nsf/iNotes/Welcome/?OpenDocument&nam&ui=classic&PresetFields=h_SkinTypeOverride;h_ApptPreview HTTP/1.1" 200 3200
 - - [03/May/2013:07:25:47 +0200] "GET /mail/tuser.nsf/iNotes/Proxy/?OpenDocument&Form=s_UpdateTLMs&l=de&gz&MX&TS=1367558760383&KIC&UNH=4ojf72uqn1qpn6qe6upnphplm1k&charset=UTF-8 HTTP/1.1" 200 927
 - - [03/May/2013:07:25:47 +0200] "GET /mail/tuser.nsf/iNotes/Proxy/?OpenDocument&Form=s_SessionInfo&l=de&gz&MX&TS=20130502T212111,89Z&KIC&UNH=4ojf72uqn1qpn6qe6upnphplm1k&charset=UTF-8 HTTP/1.1" 200 9314
--- Ende Code ---

Navigation

[0] Themen-Index

[#] Nächste Seite

[*] Vorherige Sete