Autor Thema: Domino + SAML + Reverse Proxy  (Gelesen 754 mal)

Offline Tode

  • Moderator
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.885
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Domino + SAML + Reverse Proxy
« am: 04.04.22 - 18:09:58 »
Hi zusammen, wir integrieren hier gerade einen Domino Server in ein NetIQ Advanced authentication gateway.
Das Ganze funktioniert soweit: Wenn man die URL des Domino aufruft, dann leitet der zum NetIQ, man kann sich mittels MFA dort anmelden und wird zurück zu Domino geleitet, wo man korrekt angemeldet ist und entsprechend arbeiten kann.

Jetzt die Herausforderung: Im IdP Catalog haben wir den internen Hostnamen des Domino- Servers konfiguriert. Allerdings steht der Server hinter einem Reverse Proxy. NetIQ leitet aber nach erfolgter Authentication immer auf die interne URL um, die im Feld "Domino URL" auf dem Tab "Certificate Management" konfiguriert ist. Wenn wir dort aber den Reverse- Proxy- Hostnamen konfigurieren funktioniert gar nichts mehr...

Also:
externe URL: webmailsaml.testdomain.de
interne URL: domino.testdomain.de
NetIQ URL: netiq.testdomain.de

Zugriff im Browser "webmailsaml.testdomain.de" --> Automatische Weiterleitung auf netiq.testdomain.der --> login mit MFA --> Umleitung auf domino.testdomain.de/names.nsf?SAMLLogin

Hat jemand einen Tipp, welche URL in welches Feld im IdP Catalog muss, damit sowas funktioniert?
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline m3

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.102
  • Geschlecht: Männlich
  • Non ex transverso sed deorsum!
    • leyrers online pamphlet
Antw:Domino + SAML + Reverse Proxy
« Antwort #1 am: 26.04.22 - 18:04:34 »
Üblicherweise kannst Du nur eine Callback URL im IdP konfigurieren. Daher:

webmail.example.com duchgängig konfigurieren und dann via Split Brain DNS intern und extern zu den verschiedenen Hosts zeigen lassen wäre mein Lösungsansatz.
HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai

Offline Tode

  • Moderator
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.885
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Antw:Domino + SAML + Reverse Proxy
« Antwort #2 am: 27.04.22 - 06:46:25 »
Vielen Dank für Dein Feedback. Es war viel einfacher: Wir hatten einen Fehler in der NetIQ Konfiguration, so dass der unsere Änderungen gar nie eingelesen hat und permanent mit unserer ersten Konfiguration lief.

Wir mussten im IdP Catalog einfach nur den Reverse- Proxy in die beiden Felder eintragen, den HTTP Task neustarten und im NetIQ die daraus resultierende XMl einlesen -> fertig. Hat wunderbar geklappt.
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline m3

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.102
  • Geschlecht: Männlich
  • Non ex transverso sed deorsum!
    • leyrers online pamphlet
Antw:Domino + SAML + Reverse Proxy
« Antwort #3 am: 27.04.22 - 11:11:10 »
Hahahhahahha. Klassiker. Fein, dass das jetzt tut :)
HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz