SICHERHEIT
Durch das Speichern des neuen Kennworts des Benutzers im Cache kann der HTTP-Server dieses sofort erkennen und für die Anmeldung akzeptieren, auch wenn die Kennwortänderung noch nicht vollständig in der Domino-Umgebung repliziert wurde.
Kennwortänderungen werden im Cache gespeichert, wenn der HTTP-Server für SSO konfiguriert ist. Das bedeutet, dass sich Benutzer in einer SSO-Umgebung anmelden, das Internetkennwort ändern, sich wieder abmelden und sich dann mit dem neuen Internetkennwort anmelden können, während die Änderung noch im gesamten System repliziert wird.
Cachespeicherort und Dauer der Cachespeicherung
Das im Cachespeicher befindliche neue Internetkennwort des Benutzers wird nur auf dem HTTP-Server gespeichert, auf dem die Kennwortänderung angefordert wurde. Andere Server in der SSO-Umgebung haben keinen Zugriff auf diese Cache-Informationen. Wenn der Benutzer auf einem dieser anderen Server nach dem Kennwort gefragt wird, muss er daher das alte Kennwort statt des neuen angeben. Auf einem Server, der nicht über die Cache-Informationen verfügt, muss der Benutzer das Kennwort angeben, das mit den Kennwortdaten übereinstimmt, die dieser Server im Verzeichnis findet.
SSO-Benutzer erhalten bereits bei der Anmeldung Zugriff auf die gesamte SSO-Umgebung. Daher werden sie keine Probleme haben, wenn alle Anmeldungen immer auf dem Server erfolgen, auf dem das neue Kennwort im Cache gespeichert ist. Benutzer können versuchen, auf eine URL auf dem Zielserver zuzugreifen, sodass sie nach dem Kennwort gefragt werden, statt zu versuchen, das Kennwort auf einem Server einzugeben, auf dem das neue Kennwort nicht im Cache gespeichert ist.
Standardmäßig bleibt das neue Internetkennwort auf dem HTTP-Server 48 Stunden lang im Cache gespeichert. Die Dauer der Cachespeicherung kann in der Datei NOTES.INI über den Parameter HTTP_PWD_CHANGE_CACHE_HOURS des Servers konfiguriert werden. Sobald die Information aufgrund der Überschreitung des Zeitlimits nicht mehr im Cache gespeichert ist, kann sich der Benutzer nur noch mit dem Kennwort anmelden, das mit den Kennwortdaten übereinstimmt, die der Server im Domino-Verzeichnis findet.
Anmerkung: Wenn der HTTP-Server neu gestartet wird, werden die Kennwortinformationen im Cachespeicher verworfen. Auch in diesem Fall muss der Benutzer das Kennwort eingeben, das mit dem vom Server im Domino-Verzeichnis gefundenen Kennwort übereinstimmt.
Kennwortspeicherung im Cache und SSO-Anmeldename
Die Verwendung des neuen Kennworts basiert darauf, dass der HTTP-Server den Benutzer in seinem Cachespeicher findet. Damit das im Cache befindliche neue Internetkennwort funktioniert, muss sich der Benutzer mit derselben Schreibweise des Benutzernamens wie zuvor anmelden. Wenn sich der Benutzer beispielsweise mit "Jochen Doering" angemeldet hat, als er das Kennwort änderte, kann er sich später nicht mit dem neuen Kennwort und einem anderen Namen wie zum Beispiel "jdoering" anmelden. Er muss sich mit "Jochen Doering" und dem neuen Kennwort anmelden.
Tipps für die Cachespeicherung von SSO-Kennwörtern
Sie sollten Ihre Benutzer anweisen, folgende Schritte durchzuführen, um optimale Ergebnisse zu erzielen:
1. Melden Sie sich bei einem Domino-HTTP-Server an, der das Zwischenspeichern von SSO-Kennwörtern unterstützt.
2. Fordern Sie eine Internetkennwortänderung an, indem Sie die URL "ChangePassword" auf dem Server aufrufen. Beispiel:
Es kann einige Zeit dauern, bis die Kennwortänderung auf allen Servern in der SSO-Umgebung in Kraft tritt. Während dieser Zeit sollten Benutzer sich immer zuerst bei dem Server anmelden, auf dem sie die Kennwortänderung angefordert haben, und neben dem neuen Kennwort denselben Anmeldenamen wie zuvor verwenden.
Wenn aus irgendeinem Grund das neue Kennwort nicht auf dem Server akzeptiert wird, auf dem die Kennwortänderung angefordert wurde, sollte es der Benutzer erneut mit dem neuen Kennwort versuchen und den Benutzernamen im eindeutigen Namensformat (beispielsweise Jochen Doering/MeineFirma) angeben.
Fehlerbehebung bei der Cachespeicherung des Internetkennworts für SSO
In der folgenden Liste sind einige der gängigsten Probleme im Zusammenhang mit der Einrichtung und Verwendung der Cachespeicherung von Internet-Kennwörtern in einer SSO-Umgebung aufgeführt.
Wenn der Benutzer sein Kennwort auf dem zweiten Server ändert, speichert dieser das neue Internetkennwort für diesen Benutzer im Cache. In diesem Fall verfügt der Server nicht über den Anmeldenamen des Benutzers, da sich dieser bei einem anderen Server angemeldet hat. Der zweite Server "merkt sich" das neue Kennwort, ordnet dieses jedoch dem entsprechenden eindeutigen Domino-Namen des Benutzers zu. Meldet sich der Benutzer ab und möchte sich später mit dem neuen Kennwort direkt bei diesem Server anmelden, muss er seinen eindeutigen Namen angeben (zum Beispiel Jochen Doering/MeineFirma).
Anmerkung: Die Informationen der Kennwortänderung zum angeforderten neuen Kennwort werden nicht an eine DSAPI-Bibliothek übergeben. Während sich also eine Kennwortänderung auf die Informationen im Domino-Verzeichnis für diesen Benutzer auswirkt, ist sie für die Kennwortinformationen in der DSAPI-Bibliothek bedeutungslos.
Wenn der Benutzer eine Kennwortänderung anfordert, speichert der HTTP-Server das neue Internetkennwort für diesen Benutzer im Cache und verwendet dabei den ihm bekannten Namen dieses Benutzers. Wenn sich der Benutzer abmeldet und sich später mit dem neuen Kennwort bei einer URL auf dem Server anmelden möchte, die nicht der DSAPI-Bibliothek zugeordnet ist, versucht der HTTP-Server, den Benutzernamen und das Kennwort zu verifizieren. Wenn die Kennwortänderung im Verzeichnis noch aussteht, kann der HTTP-Server das neue Kennwort nur verifizieren, sofern dieses im Cache gespeichert ist. Damit der Benutzer im Cache gefunden werden kann, muss der Benutzer den Namen angeben, der mit dem Namen im Cache übereinstimmt, d. h. den Namen, der von der DSAPI-Bibliothek übergeben wird, z. B. CN=Jochen Doering/O=MeineFirma.