Notes 11 embedded Sametime Single Sign On - wie?

[Maago]

Hallo zusammen,

wir haben grad ein Upgrade gemacht unserer Umgebung auf komplett R11 (Domino Mail und Sametime). Sametime Server ist dabei in einer eigenen Domino Domain. LtpaToken ist der gleiche auf beiden Systemen, so dass login via iNotes ins Sametime funktioniert. Unser LDAP ist Domino.

Wie kann ich jetzt im embedded Sametime Client das "Use Token based Single Sign On" aktivieren bzw. was ist genau die Voraussetzung?
Aktiviert habe ich es, aber es kommt der Fehler "Could not login" usw.

Hat das jemand am Laufen?

[oliK]

Es gibt in Sametime drei verschiedene Authentifizierungskonfigurationen:
- Natives Domino
- LDAP Domino
- LDAP ActiveDirectory

Das in Notes verfügbare token-basierte SSO zu Sametime funktioniert nur mit der Konfguration auf das native Domino oder LDAP Domino, da hier Notes den NotesName zur Anmeldung weiterreichen kann.

Wenn es doch anders ist korrigiere mich bitte jemand.

Ggf. hilft das hier: https://blog.thomashampel.com/blog/tomcat2000.nsf/dx/sametime-missing-single-sign-on-token.htm

[Maago]

Ich habe ein Domino LDAP. Aber scheinbar wird der Name irgendwie nicht richtig weitergegeben an den Sametime Server ...

[Pfefferminz-T]

Habt ihr die Server ggf. hinter einer Firewall? Dann müsst ihr NRPC (also TCP 1352) zum Sametime-Server hin freischalten. Zudem sollten im Workspace-Logs-Verzeichnis auch Fehlermeldungen zu sehen sein.

[Rolandino]

Hallo Maago, habe das gleiche Problem.
Nach Ersetzen des alten Sametime Servers durch einen Neuen (Domino11, Sametime11) bekomme ich SSO mit dem Embedded Client nicht mehr zum laufen.
Der alte Domino ist quasi neu aufgesetzt. Gleicher Domino Servername, IP des Altsystems übernommen.
Insofern kann die Firewall keine Rolle spielen.
Ticket bei HCL ist geöffnet. Leider noch keine entscheidenden Hinweise...

[Maago]

Hi, bei mir genau das Gleiche. Firewall ist nicht das Thema. Das Log sagt folgendes:

200203_104900.472,INF,Users   ,VpUsrAuthenticate::handleCheckUser: client type is 4770
200203_104900.472,INF,Users   ,VpUsrAuthenticate::handleCheckUser: authenticating user with loginName=CN=Hans Muster/O=MyOrg, client type=12a2 by a single token
200203_104900.472,FTL,LDAP Aut,authenticating user by tokens
200203_104900.472,INF,LDAP Aut,checking LDAP format, name [CN=Hans Muster/O=MyOrg] context [-1580]
200203_104900.472,INF,LDAP Aut,Starting authByTokens, context [-1580] name [CN=Hans Muster/O=MyOrg] organization []
200203_104900.472,INF,Token Au,initializing Notes API in thread
200203_104900.472,INF,Token Au,Notes API initialized in thread
200203_104900.472,INF,Token Au,Received token with type <0>
200203_104900.472,INF,Token Au,Validating LTPA/LTPA2 tokens
200203_104900.472,INF,Token Au,Created token entry of type <0>
200203_104900.544,INF,Token Au,SECTokenListValidate returned with status (1212)
200203_104900.544,ERR,Token Au,Verify LTPA/LTPA2 token failed
200203_104900.544,INF,Token Au,authentication returned code ST_DDA_API_SSO_ERROR for name: CN=Hans Muster/O=MyOrg
200203_104900.544,INF,Token Au,Notes API terminated in thread
200203_104900.544,FTL,LDAP Aut,token verification failed. [6]
200203_104900.544,INF,LDAP Aut,operationBeforeDirSearch verifyTokenAndExtractUserId failed, context [-1580] reason [6]
200203_104900.544,FTL,LDAP Aut,AuthContext::start: operationBeforeDirSearch failed, context [-1580] reason [6]
200203_104900.544,INF,LDAP Aut,Ending authByTokens immediately, context [-1580] result [6]
200203_104900.544,INF,Users   ,VpUsrAuthenticate::checkedUser: authentication failed: SSO error returned from authentication module

Vielleicht kommt ja bei HCL Case was raus?

[stoeps]

Hi

wenn du keinen Auth Server am Client angibst, wird der Homeserver des Users für die Ltpa Generierung verwendet. Sprich die Homeserver müssen den gleichen Ltpatoken generieren.

Wenn der Sametime Authswrver ist und dieser in einer seperaten Domain ist, muss auch die DA mit Notes Client Auth aktiviert sein. Sonst kann sich der User mit seiner ID nicht Authentifizieren um den Ltpa zu bekommen.

Ist das gegebeben?

[Rolandino]

Hi Stoeps,

am Client ist in der Sametime-Community Einstellung der Sametime Server als Auth Server angegeben.
Sametime und Mailserver sind in derselben Domäne. Im Web SSO Doc sind beide Server angegeben. SSO Key ist erzeugt.
DNS passt auch. 

[Maago]

Also bei mir ist der Sametime in einer eigenen Domain. Das Token Doc habe ich aus der anderen Domain kopiert. Das ist also schonmal das Gleiche. SSO mit dem Mailserver, sowie Connections und Verse funktionieren bestens.

In der DA ist "Notes Client & Internet Authentication/Authorization" angehakt.

Hi

wenn du keinen Auth Server am Client angibst, wird der Homeserver des Users für die Ltpa Generierung verwendet. Sprich die Homeserver müssen den gleichen Ltpatoken generieren.

Wenn der Sametime Authswrver ist und dieser in einer seperaten Domain ist, muss auch die DA mit Notes Client Auth aktiviert sein. Sonst kann sich der User mit seiner ID nicht Authentifizieren um den Ltpa zu bekommen.

Ist das gegebeben?

[Maago]

Es wird immer seltsamer ... ich habe es jetzt mit einem anderen User versucht. Da gehts plötzlich.
Keine Unterschiede beim User zu sehen im LDAP Verzeichnis.

Und noch ein Effekt .. wenn ich mich in Sametime abmelde und wieder anmelden will bekomme ich einen Token Fehler. Ich muss Notes komplett beenden und neu starten, nur dann geht SSO per Notes

[Pfefferminz-T]

Habt ihr die Laufzeiten für das Token auf allen Systemen gleich. Den Token-Fehler beim direkten Anmelden nach dem Logout kenne ich, ist dann aber nur kurz, also nach 10-15 Sekunden klappt die Anmeldung wieder. Habt ihr das getestet?

[Maago]

Hab 10 Minuten gewartet .. geht nicht

[Maago]

Ok, das Problem scheint gelöst.

Wir hatten irgendwie ein DNS Problem, so dass der Name des Chatservers nicht aufgelöst wurde, obwohl ein Ping ganz normal die IP richtig zurückgeliefert hatte .. verstehe wer will.

Nun gehts problemlos, auch ab- und wieder anmelden ..