Authentifizierung per Browser (http) klappt nicht

[andrösen]

Guten Tag,

ich habe ein Problem beim Zugriff auf eine beliebige DB mittels http. Also ein ganz simpler Zugriff per Browser ohne SSL.

Gebe ich eine URL einer DB unseres Servers ein, erscheint die Login-Maske. Gebe ich falsche Daten ein, bekomme ich ein "Benutzername bzw. Kennwort falsch". Gebe ich korrekte Anmeldedaten ein, erhalte ich erneut eine leere Login-Maske.

Setze ich innerhalb einer ACL einer DB den Default-Zugriff auf Leser, kann ich als Annonymous per http auf die DB zugreifen.

Die Authentifizierung per Name + Kennwort ist im Serverdok für HTTP aktiviert. Der User hat effektiven Zugriff auf die DB. Die Internet-Kennwortprüfung funktioniert offensichtlich ja auch.

Unterschiedliche Browser hab ich bereits probiert. Der Server ist nach meinem Verständnis als "basic name-and-password authentication" konfiguriert.

Hat jmd einen Tipp, wo das Problem liegen könnte? Kann ja eigentlich nicht so schwer sein...

Gruß Sascha

[ascabg]

Hallo,

Fragen wir doch erst einmal das grundlegende ab.

Darf denn auf die Db per URL zugegriffen werden?
(kann man ja in den Eigenschaften der Datenbank verbieten)
Kann man ja. Hatte ich in der Eile überlesen.


Andreas

[DomAdm]

Hallo,

prüf mal bitte diese Technote:

Login Screen appears again even with a valid Domino user name and password
http://www-01.ibm.com/support/docview.wss?uid=swg21090417

Jacob

[andrösen]

SSO ist zwar aktiviert, aber per FQDN verhält es sich leider analog!

[Pfefferminz-T]

Was steht beim maximalen Internetzugriff in der ACL?

[andrösen]

ich weiß nicht welchen Eintrag du meinst, Thorsten. Bitte hilf mir auf die Sprünge

Weitere Infos:
Im Einsatz ist ein Domino 64Bit 9.01 FP4

Im Serverdokument hab ich bei Sicherheit -> Internetzugriff -> Internet-Authentifizierung = Weniger Namensvariationen mit höherer Sicherheit
Da ich mich mit dem Benutzernamen anmelden möchte, sollte das passen.

Im Admin-Client unter Server -> Status -> Internet-Benutzer wird mir auch eine offene HTTP-Verbindung angezeigt.

Ansonsten habe ich eine aktive Kennwortrichtlinie, welche der periodischen Kennwortaktualisierung und der Synchronisation des Internetkennwortes dient. Da kann ich keine Fehler feststellen.

[Pfefferminz-T]

http://infolib.lotus.com/resources/domino/domino_admin/9_0_1/de_de/Dom-Admin-html-wrapper901_single.html#conf_maximuminternetnameandpasswordaccess_t

[hallo.dirk]

zum Testen, stell mal SSO aus, also Basic "Authentification"
Starte die HTTP Task neu und teste es nochmal.

Wenn das geht, stimmt etwas an deiner SSO Konfiguration nicht.

[andrösen]

@Thorsten: der maximale Internetzugriff der getesteten DBs war grundsätzlich "Editor"

zum Testen, stell mal SSO aus, also Basic "Authentification"
Starte die HTTP Task neu und teste es nochmal.

Wenn das geht, stimmt etwas an deiner SSO Konfiguration nicht.

Das ist es, Dirk. Nachdem ich die Sitzungsauthentifizierung deaktiviert u. den Task neugestartet habe klappt es! Was bedeutet das nun genau? Wenn ich den Domino an der Stelle korrekt verstehe, setzt er für eine Session ein Cookie und damit wird eine Sitzung pro Client verwaltet? Ist das so korrekt?
Falls ja, wie bekomme ich die HTTP-Sitzungsverwaltung korrekt konfiguriert?

[hallo.dirk]

Ich tippe mal auf eine Fehlerhafte DNS Konfiguration oder falsche oder Fehlerhafte Einträge im Serverdokument
Auf die schnelle habe ich das hier gefunden:


http://www-01.ibm.com/support/docview.wss?uid=swg21216978

 The server names you enter in the setup documents, and especially in the URL in the Web browser, are important. The URL entered in a Web browser must contain the full DNS server name, for example, myserver.ibm.com, not just myserver.

 If your URLs do not use the full name or do not match the values in Domino, your users can see these known problems: •Log-in screen appears again after successful log-in to Domino server enabled for SSO (#1090417)
•What is a valid DNS Domain entry for Single Sign-On (SSO)? (#1101856)

 As noted in the technotes, you solve these problems by making sure to use the full DNS server name in all places.

[andrösen]

Vielen Dank Dirk!

Die Namensauflösung funktioniert wunderbar. Sowohl den CN des Servers als auch den FQDN löst das DNS auf.

Im Serverdok steht einmal der Servername hierarchisch und der FQDN auch korrekt im entsprechenden Feld.

Nochmal zum Sinn und Zweck von SSO: scheinbar ist das ja ein Feature um User-Sessions für mehrere Server zu verwalten(welche wir ursprünglich auch im Einsatz hatten). Mittlerweile ist es nur noch ein einziger Server. Also ist gegen meine jetzige Konfig: SSO = deaktiviert doch nicht einzuwenden, oder??

[hallo.dirk]

Dann fehlt der Name des Servers im Token Dokument...
Das findest du om Adressbuch unter Web/Web Konfigurationen, ganz oben.....

Ansonsten kannst du das natürlich auch alles weglassen, dass ist deine Entsheidung....

[andrösen]

Unter Internetprotokolle -> HTTP -> Hostname ist auch der FQDN eingetragen

Ich werde das Serververhalten dahingehend weiter beobachten und betrachte das Problem vorerst als erledigt. Werd mich in das Thema nochmal ausführlicher einlesen.

Vielen Dank für die Unterstützung! 

[Pfefferminz-T]

Token-Dokument <> Internetprotokolle/HTTP...

Web -> Web Configurations -> SSO Configuration