Autor Thema: Supportanfrage SSO / SPENGO / ...  (Gelesen 6496 mal)

Offline Tekieler

  • Frischling
  • *
  • Beiträge: 9
Supportanfrage SSO / SPENGO / ...
« am: 14.05.14 - 16:48:17 »
Hallo,
Ich hoffe ich kann diese Anfrage so reinstellen und habe auch das richtige Unterforum dafür gefunden. Bei dem Thema Kennwortwechsel, SSO, SPENGO etc. komme ich leider nicht weiter.
Habe zwar viele Ansätze aber keine echte Lösung.

Folgende Umgebung:
-   Windows Active Directory auf Windows Server 2008 R2
-   Domino 9.0.1 auf Windows Server 2008 R2 bzw 2012 R2
-   Sametime Limited Use 8.5.2 -  Domino 8.5.3 auf Windows Server 2003 R2
-   Traveler 9.0.1- Domino 9.0.1 auf Windows Server 2003 R2
-   Notes Client 9.0.1 (incl. embedded Sametime) auf Windows 7 64bit
-   Client authentifizierung (Notes Share Login & ID-Vault)

Ich  versuche einen Weg zu finden das nach einem Kennwortwechsel der User auch das ID-Vault Kennwort ändern, damit bei weiteren Installationen das Kennwort stimmt.
Wenn jetzt noch das Internetkennwort sich mit dem ID-Vault Kennwort synchronisiert werde das toll, damit sich die WebUser bzw. TravelerUser  auch mit ihrem Kennwort anmelden können.
Da wir das Notes Single Logon gegen NSL ersetzt haben und die ID nun kein Kennwort mehr hat, klappt das ja nicht mehr.

Habe hier im Forum auch schon etliche Dinge gefunden und auch die weiterführenden Links aus dem Thema  http://atnotes.de/index.php/topic,51650.0.html abgearbeitet, aber ohne Erfolg.

Mein Versuch beide Kennwörter über Webseiten zu ändern scheitert auch daran das SSO über WEB nicht richtig funktioniert. 
https://Domxxxx.de/pwdresetsample.nsf
https://Domxxxx/names.nsf?ChangePassword

Da ich in unserer Firma Einzelkämpfer bin und ich nun auch an zeitlich an Grenzen stoße, würde ich mich freuen wenn ich entsprechenden Support gekommen könnte.

Also falls jemand meine Probleme erahnen kann und sich mit diesem Thema gut auskennt, wäre ich froh wenn er sich melden würde und ein Blick auf meine Konfiguration werfen könnte. Über Konditionen wird man sich sicherlich einig.

Gruß aus dem hohen Norden
Christoph

Offline schurl85

  • Junior Mitglied
  • **
  • Beiträge: 57
Re: Supportanfrage SSO / SPENGO / ...
« Antwort #1 am: 15.05.14 - 14:40:06 »
Also wir haben hier SSO für Web im Einsatz, d.h. IE starten und richtigen HTTP Link auf Demino Server und schon bist du Authentifiziert und auf der Webseite.

So ca. sollte das funktionieren:

Web SSO Configuration anlegen  ---> DNS Domain angeben z.B.     ".firma.intranet" --> MAP names in LTPS tokens --> Domino Server Names ausfüllen --> Windowsy single sign on integration enabled

im Serverdokument unter Internet Protocols --> Domino Web Engine --> Session Authentication auf Multiple SSO --> Web SSO Configuration auf die vorher erstellt einstellen.

Useraccount im AD anlegen. Domino Server mit diesem User starten (beim Service hinterlegen). per command line die SPN Einträge machen. d.h. setspn -a HTTP/namedesdomino.firma.intranet UserAccount.

dann muss noch bei jedem User im Notes der Useraccount vom AD hinterlegt werden --> names.nsf --> User auswählen --> Administration --> Acitive Directory logon name --> username@FIRMA.INTRANET     (hier ist wichtig die Domain groß zu schrieben)


danach sollte eigentlich der Login am Server per IE funktioniert. Link sollte dann so aussehen : http://dominoserver.firma.intranet/pwdresetsample.nsf    --> das dominoserver.firma.intranet muss gleich sein, wie der registierte SPN.


so ca. funktioniert das Web SSO. Genaueres gibts in der Anleitung von IBM. z.b.:

http://publib.boulder.ibm.com/infocenter/domhelp/v8r0/index.jsp?topic=%2Fcom.ibm.help.domino.admin85.doc%2FH_ESTABLISH_AN_SPN_IN_ACTIVE_DIRECTORY_FOR_THE_DOMINO_SERVER_STEPS.html

http://publib.boulder.ibm.com/infocenter/domhelp/v8r0/index.jsp?topic=%2Fcom.ibm.help.domino.admin85.doc%2FH_PREPARING_ACTIVE_DIRECTORY_FOR_SPNEGO_KERBEROS_AUTHENTICATION_STEPS.html

lg

Georg

so circa sollte es gehen. Wenn
Georg

Offline Tekieler

  • Frischling
  • *
  • Beiträge: 9
Re: Supportanfrage SSO / SPENGO / ...
« Antwort #2 am: 15.05.14 - 17:08:32 »
Hallo Georg,

auf den ersten Blick habe ich schon mal eine Sache gefunden, die ich bei mir noch falsch eingestellt hatte. 
"Session Authentication auf Multiple SSO"  :o  - der Rest sieht eigentlich gut.
Ich werde das ganze nochmal alles checken und sehen ob ich damit Erfolg habe.

Mittlerweile habe ich mich auch an einen Kontakt vom AdminCamp erinnert und werde mal in ein paar Beraterstunden investieren.
Vielen Dank für die tolle Zusammenfassung.

lg Christoph




Offline schurl85

  • Junior Mitglied
  • **
  • Beiträge: 57
Re: Supportanfrage SSO / SPENGO / ...
« Antwort #3 am: 16.05.14 - 09:28:51 »
hier noch ein paar Debug einträge, vielleicht helfen die ja:

DEBUG_HTTP_SERVER_SPNEGO=5
DEBUG_SSO_Trace_Level=2
webauth_verbose_trace=1
LOGLEVEL_NAME_MAPPING=1


Georg

Offline Daniel_BOO

  • Frischling
  • *
  • Beiträge: 16
Re: Supportanfrage SSO / SPENGO / ...
« Antwort #4 am: 01.10.14 - 20:37:34 »
Moin Zusammen,

ich versuche auch die ganze zeit in einer Testumgebung SSO einzurichten aber ich habe das Gefühl das mir immer irgendetwas fehlt -.- Ziel ist es mit der Authentifizierung an der AD, I-Notes ohne Kennwortabfrage zu öffnen.

win 2012 DC
- service user für domino
- set spn

win 8 Domino SRV
- ID Vault
- web sso configuration angelegt
- Server dokument angepasst

also so zu sagen wie von schurl85 beschrieben.

fehlt da noch etwas ?

LG Daniel

Offline m3

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.102
  • Geschlecht: Männlich
  • Non ex transverso sed deorsum!
    • leyrers online pamphlet
Re: Supportanfrage SSO / SPENGO / ...
« Antwort #5 am: 01.10.14 - 22:51:22 »
Hast Du SPNEGO auch konfiguriert?
HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai

Offline Daniel_BOO

  • Frischling
  • *
  • Beiträge: 16
Re: Supportanfrage SSO / SPENGO / ...
« Antwort #6 am: 06.10.14 - 08:40:00 »
Erstmal Danke für die Antwort.

Bin in der Ausbildung bzw Weiterbildung in diesem Gebiet, aus diesem Grund kenne ich mich noch nicht so gut mit Domino aus. Deshalb muss ich die frage stellen Wie konfiguriert man SPNEGO ?

Evtl. ist es ja das was bei mir fehlt  ???

LG Daniel

Offline Pfefferminz-T

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.204
Re: Supportanfrage SSO / SPENGO / ...
« Antwort #7 am: 06.10.14 - 09:18:52 »
So wie es in der Dokumentation steht... und wenn man in Google nach dem Begriff "Domino" "SPNEGO" sucht, dann bekommt man sogar Schritt-für-Schritt-Anleitungen über slideshare bzw. zusätzliche Wiki-Beiträge von IBM:

http://www-10.lotus.com/ldd/dominowiki.nsf/dx/Deploying_SPNEGO

http://www-10.lotus.com/ldd/dominowiki.nsf/dx/How_to_configure_the_Windows_single_sign-on_%28SSO%29_for_Web_clients_%28SPNEGO%29_in_an_existing_Domino_environment_%28Tutorial%29

http://www.slideshare.net/gabturtle/bp104-saml

Gruß,
Thorsten
Grüsse,
Thorsten

Offline Daniel_BOO

  • Frischling
  • *
  • Beiträge: 16
Re: Supportanfrage SSO / SPENGO / ...
« Antwort #8 am: 06.10.14 - 09:56:07 »
Ja das habe ich auch schon alles getan und die links sind mir auch bekannt, leider bis jetzt erfolglos.
Und noch eine Info:
Domspnego.cmd sowie setspn.exe poppen bei mir nur kurz auf, weiter passiert leider nichts.

LG Daniel

Offline Pfefferminz-T

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.204
Re: Supportanfrage SSO / SPENGO / ...
« Antwort #9 am: 06.10.14 - 11:59:19 »
Wie "die poppen kurz auf"?? Nehme an, dass Du schon ein DOS-Prompt mittels cmd aufgemacht hast und dann dort den/die Commands eingegeben hast? Da sieht man dann auch die Rückmeldung...
Grüsse,
Thorsten

Offline Daniel_BOO

  • Frischling
  • *
  • Beiträge: 16
Re: Supportanfrage SSO / SPENGO / ...
« Antwort #10 am: 06.10.14 - 12:22:13 »
Ja habe den setspn auch manuell ausgeführt, wollte es nochmal mit domspnego.cmd und/oder setspn.exe probieren um evtl. Fehler auszuschließen. Wenn ich jedoch domspnego.cmd und/oder setspn.exe ausführe popt die CMD kurz auf und schließt sich sofort wieder.


Offline Tannibal

  • Senior Mitglied
  • ****
  • Beiträge: 253
  • Geschlecht: Männlich
Re: Supportanfrage SSO / SPENGO / ...
« Antwort #11 am: 06.10.14 - 12:38:13 »
Du musst die DOS-Box vorher öffnen und dann die entsprechenden Befehle eingeben. Dann bleibt das Fenster auch offen und du siehst die Ausgabe  ;)
Gruß, Daniel
----------------
16x Domino 12.0.2FP1
inkl. Traveler , LEI, Sametime, Connections
1,2k Notes-Clients 10/12

Offline Daniel_BOO

  • Frischling
  • *
  • Beiträge: 16
Re: Supportanfrage SSO / SPENGO / ...
« Antwort #12 am: 06.10.14 - 13:01:14 »
nochmal getestet, ...nützt nichts

Offline Pfefferminz-T

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.204
Re: Supportanfrage SSO / SPENGO / ...
« Antwort #13 am: 06.10.14 - 13:14:05 »
Wenn man das domspnego.cmd in einer DOS-Box öffnet, dann kommen mehrere Abfragen und die münden letztendlich in einer Textdatei mit den entsprechenden Befehlen, die man dann für setspn verwenden kann. Wenn da "nix" kommt, dann weiß ich nicht was Du machst.

... und wenn man setspn mit den notwendigen Parametern aufruft, dann kommt da auch nicht nur "nix".
Grüsse,
Thorsten

Offline Daniel_BOO

  • Frischling
  • *
  • Beiträge: 16
Re: Supportanfrage SSO / SPENGO / ...
« Antwort #14 am: 06.10.14 - 16:03:26 »
Okay, das mit eurer "DosBox" hat mich verwirrt, habe es dann über die Eingabeaufforderung aufgerufen und alles konfiguriert und am ende sagte er doppelter SPN gefunden also habe ich anscheinend vorab schon die korrekten Angeben gemacht.

Offline Daniel_BOO

  • Frischling
  • *
  • Beiträge: 16
Re: Supportanfrage SSO / SPENGO / ...
« Antwort #15 am: 13.10.14 - 11:02:12 »
Okay hab es geschafft und es läuft.

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz