Das Notes Forum
Domino 9 und frühere Versionen => ND6: Administration & Userprobleme => Thema gestartet von: matze79 am 13.02.06 - 21:06:18
-
Hallo,
das Web-SSO funktioniert, wenn man auf einen Server mit einem einmaligen DNS-Namen zugreift. Wenn man über einen anderen, oder direkt per IP-Adresse zugreift, kann man sich nicht anmelden.
Kann man das umgehen?
-
Hallo,
es gibt da einiges was ich bei deiner Frage nicht verstehe.
DNS Namen, nun DNS Namen sind immer eindeuteige Namen, es sollte wohl keine 2 gleiche DNS Namen im Netz geben und da ist es egal ob das Netz das Internet ist oder ein Lokales Netzwerk.
Es sollte auch möglich sein sich bei deinem server ueber die IP Adresse anzuzmelden,
kannst ja mal versuchen dich bei einer datenbank auf welche du zugriff hast einzuloggen, wie gesagt das sollte eigentlich immer gehen.
Was den anderen Server angeht, so sollte der Durchgangsserver das recht haben auf den anderen server zuzugreifen und man sollte das recht haben Über den durchgangsserver den anderen Server zu erreichen.
Das einzige problem was mir in dem zusammenhang bekannt ist das eine SSL anmeldung fehler aufzeigt wenn die URL nicht mit der im Zertifikat uebereinstimmt,
das passiert zum beispiel wenn du per IP zugreifst.
Es währe daher schon intressant zu wissen wie die ganze sache eufgebaut und eingerichtet wurde.
Sind gegenzertifikate Erstellt worden ?
Ist SSL dabei im einsatz ?
ist SSO auf beiden Server eingeschaltet ?
Ist der Zielserver als erlaubte weiterleitung eingerichtet ?
Darf der User über den Durchgangsserver auf den anderen zugreifen ?
Befinden sich beider Server im gleichen Notes Netz ?
Haben die User das recht den Entsprechenden Server überhaupt zu Benutzen ?
Blockt eine Firewall die Verbindung der beiden Server ?
Wie sind die Gruppen und die User geflegt ( Kaskadierte Adressbücher ?) ?
mfg
Gont
-
Aus der Admin-Hilfe:
Multi-server session-based authentication, also known as single sign-on (SSO), allows Web users to log in once to a Domino or WebSphere server, and then access any other Domino or WebSphere servers in the same DNS domain that are enabled for single sign-on (SSO) without having to log in again.
Daher: Wenn beide Server in der selben DNS-Domain sind (server01.example.com und server02.example.com) UND die Multi-server session-based authentication aktiviert ist, dann funktioniert es. Wenn Du auf die IP-Adressen gehst oder die Server in unterschiedlichen DNS-Domains sind (server01.example.com und server02.beispiel.de), dann klappts nicht.
-
Hi,
ich habe das eher so verstanden, dass es sich bei Matze um einen einzigen Server dreht, welchen er über verschiedene DNS-Namen, oder die IP ansprechen will. Der Login funktioniert aber nur beim Aufruf über einen bestimmten DNS-Namen.... liege ich da richtig, Matze?
Den Ausdruck "Web-SSO" hättest Du dann etwas unglücklich verwendet, denn dieser bezieht sich nur auf "Multi-server session-based authentication". Was Du dann meinst wäre lediglich "Single-Server Session Authentication"
Wenn dem so ist... so ganz tief drin bin ich in diesem Thema nicht... aber es müsste funktionieren, wenn man für jeden der DNS-Namen des Servers und für die IP jeweils ein WebSite-Dokument anlegt, und jeweils die Single-Server Session Authentifizierung aktiviert.
Kann natürlich auch falsch liegen ;)
Grüße
Daniel
-
Wenn dem so ist... so ganz tief drin bin ich in diesem Thema nicht... aber es müsste funktionieren, wenn man für jeden der DNS-Namen des Servers und für die IP jeweils ein WebSite-Dokument anlegt, und jeweils die Single-Server Session Authentifizierung aktiviert.
Klingt gut! :D
-
Vielen Dank für die Antworten!
Ich hole wohl besser ein bisschen aus:
Ich habe einen Sametime-Server mit einer internen IP-Adresse. Dieser steht nicht in der DMZ, soll aber von extern erreichbar sein. Also habe ich das kurzerhand über ein Portforwarding auf einem Gateway realisiert. Somit ist der Port 443 über zwei DNS-Namen erreichbar:
st1.lan.mycomp.de und mail.mycomp.de (st1.lan.mycomp.de ist der primäre Name)
Damit man im Notes kein Samtime-Passwort eingeben muss, habe ich nur auf diesem System Web-SSO aktivieren müssen. Wenn ich mich nun im Browser für eine Online-Konferenz auf mail.mycomp.de anmelden will, kann ich mich nicht authentifizieren. Per st1.lan.mycomp.de geht alles.
Ich werde das mit den VHost mal gleich probieren.
-
So kanns auch nicht klappen, da lan.mycomp.de != mycomp.de. Sie müssen beide in der GLEICHEN DNS-Domain sein.
Mit st1.mycomp.de und mail.mycomp.de sollte es klappen.
-
Sollte es nicht mit LtpaToken DNS=mycomp.de gehen?
-
Ich habe nun ein bisschen mit SSO rumgespielt. Meine Ergebnisse:
Das automatisches Anmelden am Sametime in Notes geht nur, wenn der
DNS-Name vom Home-Server und vom Sametime-Server mit dem des LTPA-Tockens übereinstimmen. Wenn dies der Fall ist, kann man in der Arbeitsumgebung unter Sametime angeben was man will, hauptsache der Server wird gefunden. Es muss nur im Sametime-Server SSO eingestellt werden.
Homemail: domino.lan.comp.de
Sametime: sametime.lan.comp.de
LTPA-DNS: .lan.comp.de
Über Web ist nun auch der Zugriff über beliebigen DNS-Namen innerhlab der Domäne möglich, z.B. st1.lan.comp.de, st2.lan.comp.de, etc.
Ein direktes Login über die IP-Adresse oder andere DNS-Name ist nicht möglich.
-
Ein direktes Login über die IP-Adresse oder andere DNS-Name ist nicht möglich.
The DNS domain that applies to the participating SSO servers is specified in the SSO configuration document. URLs issued to servers configured for single sign-on must specify the full DNS server name, not the host name or IP address. For browsers to be able to send cookies to a group of servers, the DNS domain is included in the cookie (as specified by the configuration), and the DNS domain in the cookie must match the server URL. This is why cookies cannot be used across TCP/IP domains.
Das LPTA Token muss den kleinsten gemeinsamen Nenner haben, dann klappt es auch aus dem Internet, wenn die Interne DNS Domain= der Externen ist klappt es.