SICHERHEIT

Integrated Windows Authentication (IWA) für Eclipse-basierte Clients
Integrated Windows™ Authentication (IWA) steht für bereitgestellte und Eclipse-basierte Clientanwendungen von Drittanbietern zur Verfügung und ermöglicht die SPNEGO-Authentifizierung für Eclipse-basierte Funktionen und Anwendungen im Notes-Client. Dies schließt Widgets und Live Text, Feeds, IBM® Connections und Verbundanwendungen sowie integriertes IBM Sametime und Symphony ein. IWA funktioniert auch mit Produkten, die auf Eclipse basieren, aber nicht in Notes integriert sind, beispielsweise IBM WebSphere Portal mit SiteMinder und eigenständigem Connections 3.0 mit SiteMinder.

Anmerkung: IWA kann nicht als Mechanismus zur Authentifizierung beim Start des Notes-Clients verwendet werden.

IWA stellt ein Authentifizierungsprotokoll dar, das Benutzern die einmalige Anmeldung mithilfe der Windows-Identifikationsdaten des derzeit angemeldeten Benutzers ermöglicht. SPNEGO ist einer der Mechanismen von IWA, der es dem Client und dem Server ermöglicht, das zu verwendende Authentifizierungsprotokoll zu vereinbaren. Diese Protokolle sind auf NTLM (NT Lan Manager) und Kerberos beschränkt. Die Unterstützung für das Sitzungsmanagement wird durch HTTP-Cookies zur Verfügung gestellt.

Der Domino-Administrator kann entweder die Unterstützung für IWA mithilfe einer Richtlinie für Sicherheitseinstellungen angeben oder ein Konto des Typs OS-CRED erstellen und dieses durch eine Richtlinie für Clientbenutzer anwenden.

So aktivieren Sie IWA in der Sicherheitsrichtlinie:

1. Erstellen Sie im Domino-Verzeichnis ein Richtliniendokument für Sicherheitseinstellungen oder bearbeiten Sie dieses, sofern bereits vorhanden (die Gestaltung 8.5.3 NAMES.NSF ist erforderlich).

2. Wählen Sie im Register Kennwortverwaltung für das Feld Einmalige Anmeldung von Windows für Standard-Notes-Client aktivieren die Option "Ja" aus.

Anmerkung: Die Aktivierung der IWA-Authentifizierung in der Richtlinie für Sicherheitseinstellungen wird nur im Browser und auf der Netzwerkebene für Komponenten wie Feeds und Widgets unterstützt. Wenn sich beispielsweise der Widgetkatalog auf einer durch SPNEGO geschützten Site befindet und der Clientbenutzer über den integrierten Browser auf den Katalog zugreift, würde sich der Benutzer beim Katalog authentifizieren, ohne dass ein Konto erforderlich wäre.

Beim Erstellen eines OS-CRED-Kontos für einen Clientbenutzer wird IWA für den gesamten Notes-Client automatisch aktiviert. Auch anwendungsspezifische Konten wie IBM Sametime und IBM Connections können in den Typ OS-CRED geändert werden.

IWA funktioniert auch mit TAM-SPNEGO-Konten. Benutzer von TAM-SPNEGO-Konten können mithilfe der Datei "plugin_customization.ini" des Clients ihre Konten so umstellen, dass die mit IWA kompatible SPNGEO-Unterstützung verwendet wird.

Anmerkung: Diese Datei befindet sich üblicherweise im Unterverzeichnis framework\rcp von Notes-Installationsverzeichnis. Beispiel:

Programe\IBM\\Notes\framework\rcp\plugin_customization.ini

Vor der Installation oder eines Upgrades von Notes befindet sich die Datei im Unterverzeichnis "deploy" des Notes-Installationskits.

Fügen Sie die folgende Anweisung hinzu, wenn Sie angeben möchten, dass alle vorhandene TAM-SPNEGO-Konten die OS-CRED-Authentifizierung verwenden sollen:

com.ibm.rcp.accounts/replace.tam.spnego=true

Anmerkung: Für diese Einstellung, die primär von Sametime verwendet wird, ist keine bestimmte Domino-Richtlinie vorhanden. Alternativ zur Datei plugin_customization.ini können Sie die Einstellung im Domino-Einstellungsdokument für Desktop-Richtlinien zum Definieren eines benutzerdefinierten Name/Wert-Paares über das Register "Benutzerdefinierte Einstellungen" vornehmen. Details zum Anwenden von Eclipse-Vorgabeeinstellungen mithilfe einer Richtlinie finden Sie in den verwandten Themen.

OS-CRED-SPNEGO ist nicht automatisch aktiviert. Wenn Sie dies aktivieren möchten, erstellen Sie mithilfe der vorhandenen Benutzerschnittstellenmethoden des Domino-Administrators oder -Clients ein neues Konto des Typs OS-CRED oder legen Sie eine Plattformvorgabe fest, indem der Datei plugin_customization.ini des Clients die folgende Anweisung hinzugefügt wird:

com.ibm.rcp.net.http/enable.spnego=true

Diese Funktion steht für integrierte Seitenleistenanwendung "Activities" zur Verfügung. Ähnlich wie bei der Kontenkonfiguration bietet Connections beim Konfigurieren von Clientvorgaben jetzt den Authentifizierungstyp "OS Credential". Er wird ebenfalls unterstützt, wenn die Connections-Konfiguration in der Datei plugin_customization.ini des Clients wie folgt bereitgestellt wird:

com.ibm.lconn.client.base/server=Connections_server_namecom.ibm.lconn.client.base/authtype=OS-CRED

Wenn bei der SPNEGO-Authentifizierung ein Problem auftritt, können Sie die folgenden Einstellungen für die Protokollierung auf Eclipse-Ebene in der Datei rcpinstall.properties aktivieren. Dadurch werden von der Java Virtual Machine eine Protokollausgabe und von Notes eine Ausgabe in einer beliebigen Protokolldatei des von Ihrem Clientsystem derzeit verwendeten Systems bereitgestellt. Standardmäßig ist dies C:\Programme\IBM\Notes\Data\workspace\logs.

com.ibm.rcp.accounts.level=FINESTcom.ibm.rcp.net.http.level=FINESTcom.ibm.rcp.security.spnego.level=FINEST

Bei der Verwendung von Integrated Windows Authentication (IWA) für Eclipse-basierte Clients gibt es zahlreiche Aspekte sowie Einschränkungen zu berücksichtigen:


Zugehörige Konzepte
Administrative Einstellungen zur Bereitstellung von Eclipse-basierten Plug-ins konfigurieren
Eclipse-Einstellungen zur Überprüfung der Vertrauenswürdigkeit verwenden

Zugehörige Tasks
Eclipse-Vorgabeeinstellungen mithilfe einer Desktoprichtlinie zuweisen
Administrative Konten zum Verwalten der Client-Plug-ins