martedì 23 agosto 2011

Come configurare il Windows single sign-on (SSO) per Web clients (SPNEGO) in un ambiente Domino pre-esistente

Dalla release 8.5.1 è disponibile l'autenticazione integrata con Windows via SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism)

questa configurazione permette agli utenti web di collegarsi alle applicazioni senza dover inserire le proprie credenziali, garantendo comuque la sicurezza e l'identificazione dell'utente stesso.


Il processo di autenticazione avviene senza il passaggio di credenziali nella rete, qusto a garanzia del fatto che anche in caso di sniffing della rete, non vi sia nulla da “sniffare”.

Lo schema seguente illustra il processo di autenticazione.



I passi necessari alla configurazione sono pochi e semplici, in pochi minuti possiamo abilitare l'SSO tra Windows e Domino.

Nel caso descritto ho eseguito la configurazione utilizzando gli “Internet Sites”, definendo un virtual host specifico per l'ambiente di SSO.

Obbiettivo avere due domini distinti di SSO, in modo da non inficiare le configurazioni preesistenti.
 
Nell esempio il “dominio” net2action ammette l'SSO con Windows, mentre il dominio shamrock no
per farlo è necessario creare i rispettivi documenti di WebSSO Configuration


 

creare le relative Domino SSO key o importarel'LTPA WebSphere Key




in questo modo i due VH emetterano due distinte chiavi LTPA.




Ora è necessario creare un utente AD da utilizzare per lo start del server Domino e per mappare l'host di SSO.

Nel server AD con i Support tool installati eseguire il comando

SETSPN -a HTTP/<fqdn> <user>

utilizzare l'FQDN che utilizzeranno gli utenti per raggiungere il server web.

Nel nostro caso

SETSPN -a HTTP/mail.net2action.com DomioStart

con li comando SETSPN -l <user> verifichiamo la correttezza della configurazione, se servono si possono configurare più FQDN.


 
ora è necessario aggiungere al campo FullName del documeto persona dell'utente il proprio id Windwos nel formato <user>@<domain> nel ns caso p.rossi@SHAMEROCK.COM

 
ovviamente non è difficile creare un agente che provveda alla mappatura, ma è più funzionale utilizzare un'Assembly Line di IDI, in modo che questa configurazione sia dinamica e pilotata dai cambiamenti efettuati in AD.


 
La configurazione è terminata. Per verificarla è sufficente collegarsi ad un pc nel domino, aprire un browser e chiamare il ns server domino, nell esempio:



ci sono alcuni flag del Notes.ini che ci aiutano nella verifica della configurazione, vediamoli:
Flag Notes.ini Utilizzo
CONSOLE_LOG_ENABLED=1 Abilita la registrazione di tutti gli output della console <InstallRoot> \ \ <Data Directory> \ \ IBM_Technical_Support \ \ console.log
Debug_SSO_Trace_Level=2 permette il debug del token SSO - dopo il riavvio dell' HTTP ("restart task http")
DEBUG_HTTP_SERVER_SPNEGO=5 permette il debug del token SPNEGO - dopo il riavvio dell' HTTP ("restart task http")
webauth_verbose_trace=1 Abilita il debug dell'autenticazione web per la risoluzione di mappatura dei nomi e DA a LDAP esterno - con effetto immediato
debug_outfile=c:\tmp\Spnegonotes.log Abilita la trace SPNEGO in un file

I browser supportati sono:

IE 6,7,8
FF 4,5
Chrome non in modo esplicito, ma funzionicchia, per la mail solo UltraLite.

bene ora basta procedere..... buon lavoro
Andrea Fontana