SSO - Single Sign On für Web-Clients / AD und Domino Directory

[PhilippB]

Hallo zusammen,

ich habe angefangen das SSO für Web-Clients an unseren Servern zu  konfigurieren.
Das Ziel ist, dass die Benutzer im Hintergrund über ein Ticket authentifiziert werden und somit nurnoch bei der Anmeldung am ActiveDirectory die Userdaten angegeben werden müssen.

Ich habe auch einiges in der 8.5er Admin Hilfe gefunden, jedoch ist mir manches nochnicht ganz klar.

Der Browser sollte ja den DNS Namen aus den String entnehmen und dann die Zuordnung per SPN holen.
Dann sollte sich der Browser ein Ticket holen und es zum Domino Server schicken, der daraufhin den User authentifiziert.

Bisher habe ich folgendes getan:

- SSO Dokument angelegt
- Die Gruppenrichtlinien im AD geändert, sodass die Uhrzeit syncronisiert wird
- Einen AD-Benutzer angelegt, damit der Domino Server - Service mit diesem starten kann.
- SPNs per domspnego.cmd bzw. setspn.exe hinzugefügt

Die nächsten Schritte wären bei mir gewesen:
- Directory Assistance anlegen und per LDAP mit AD - Daten füttern
- Die Websites umstellen, damit Sie den Token verwenden

Gehe ich so richtig vor?

Wie funktioniert die Verknüpfung richtig?
Irgendwo in der Hilfe hatte ich gelesen, dass der Domino Server den Abgleich mit den eMail-Adressen macht (also Internet adress und das Pendant im AD) und wo anders in der Hilfe stand, es müsse mit den eindeutigen Namen gemacht werden.
Was ist richtig?

Wenn ja, was muss ich für "Attribute to be used as Notes distinguished name" im Directory Assistance Dokument angeben und wie fülle ich das Feld dann im AD?

Die Umgebung auf der das alles passieren soll ist folgende:
8.5.1 Notes Server auf Windows Server 2003 x64
Active Directory auf Windows Server 2003
Alle Server sind in einer (Windows-)Domäne.

Vielen Dank im Voraus,

Philipp

[Daniel_BOO]

Moin Phillip,

Ich stehe vor der gleichen Herausforderung, hast du SSO schon erfolgreich eingerichtet?
Falls ja, könntest du mir dabei behilflich sein?

LG Daniel

[ra.t]

hallo...,
du weißt das der Beitrag von 2010 ist und der Poster nur 2 Beiträge erstellt hat ?

Schreib doch lieber mal, wo es wirklich bei dir klemmt.

mfg
Ralf

[Daniel_BOO]

Moin, ja ich weiß das der Beitrag von 2010 ist, aus diesem Grund hoffe ich auch das mir jemand helfen kann.

Moin Zusammen,

ich versuche die ganze zeit in einer Testumgebung SSO einzurichten aber ich habe das Gefühl das mir immer irgendetwas fehlt -.- Ziel ist es mit der Authentifizierung an der AD, I-Notes ohne Kennwortabfrage zu öffnen.

win 2012 DC
- service user für domino
- set spn

win 8 Domino SRV
- ID Vault
- web sso configuration angelegt
- Server dokument angepasst

Also ich bin nach dieser Anleitung gegangen:
"Web SSO Configuration anlegen  ---> DNS Domain angeben z.B.     ".firma.intranet" --> MAP names in LTPS tokens --> Domino Server Names ausfüllen --> Windowsy single sign on integration enabled

im Serverdokument unter Internet Protocols --> Domino Web Engine --> Session Authentication auf Multiple SSO --> Web SSO Configuration auf die vorher erstellt einstellen.

Useraccount im AD anlegen. Domino Server mit diesem User starten (beim Service hinterlegen). per command line die SPN Einträge machen. d.h. setspn -a HTTP/namedesdomino.firma.intranet UserAccount.

dann muss noch bei jedem User im Notes der Useraccount vom AD hinterlegt werden --> names.nsf --> User auswählen --> Administration --> Acitive Directory logon name --> username@FIRMA.INTRANET     (hier ist wichtig die Domain groß zu schrieben)


danach sollte eigentlich der Login am Server per IE funktioniert. Link sollte dann so aussehen : http://dominoserver.firma.intranet/pwdresetsample.nsf    --> das dominoserver.firma.intranet muss gleich sein, wie der registierte SPN."

fehlt da noch etwas ?