Hilfe zu IBM Domino Social Edition Administrator 9.0.1

SICHERHEIT

Web-SSO-Konfigurationsdokumente erstellen
Das Web-SSO-Konfigurationsdokument ist ein Konfigurationsdokument für die gesamte Domäne, das im IBM® Domino-Verzeichnis gespeichert ist. Dieses Dokument, das auf alle Domino-Server repliziert werden sollte, die an der SSO-Domäne teilnehmen, wird für die entsprechenden Server und Administratoren verschlüsselt und enthält einen geheimen Schlüssel zur gemeinsamen Nutzung, den die Server zur Verifizierung von Benutzeridentifikationsdaten verwenden.

So erstellen Sie ein Web-SSO-Konfigurationsdokument, wenn Sie Internet-Sites verwenden

Vorbereitungen

Stellen Sie sicher, dass Sie ein Websitedokument erstellt und die Verwendung von Internet-Site-Dokumenten im Serverdokument aktiviert haben.

Stellen Sie zudem sicher, dass sich der im Client-Arbeitsumgebungsdokument festgelegte Mail-/Home-Server in derselben Domäne wie die an SSO teilnehmenden Server befindet. Dadurch wird sichergestellt, dass alle öffentlichen Schlüssel der teilnehmenden Server gefunden werden, wenn das SSO-Dokument verschlüsselt ist.

Prozedur

1. Klicken Sie in Domino Administrator auf Dateien und öffnen Sie das Domino-Verzeichnis (normalerweise NAMES.NSF) des Servers.

2. Öffnen Sie die Ansicht Internet-Sites.

3. Klicken Sie auf Web-SSO-Konfiguration erstellen.

4. Klicken Sie im Dokument auf Schlüssel.

5. Initialisieren Sie die Web-SSO-Konfiguration mit dem gemeinsamen Geheimschlüssel, indem Sie einen der beiden folgenden Schritt ausführen:

Wählen Sie Nur Domino (keine an der einmaligen Anmeldung teilnehmenden IBM WebSphere-Server) und anschließend Domino SSO-Schlüssel erstellen aus. Führen Sie Schritt 6 nicht aus, wenn Sie diese Option auswählen. Fahren Sie stattdessen mit Schritt 7 fort.
Wählen Sie Domino und WebSphere (einmalige Anmeldung mit WebSphere) aus und fahren Sie anschließend mit Schritt 6 fort.

6. Stellen Sie das Dokument wie folgt fertig:

Tabelle 1. Felder für die SSO-Konfiguration von Domino und WebSphere

Feld	Aktion
Konfigurationsname	Geben Sie den Namen der SSO-Konfiguration ein und berücksichtigen Sie dabei die folgenden Punkte: Wenn Sie mehrere Web-SSO-Konfigurationsdokumente erstellen, geben Sie jedem Dokument einen eindeutigen Namen. Web-SSO-Dokumente werden anhand ihres Namens gesucht. Wenn mehrere Dokumente denselben Namen haben, funktioniert die SSO-Konfiguration nicht ordnungsgemäß. Das Erstellen mehrerer SSO-Dokumente funktioniert jedoch nur unter bestimmten Umständen. Mehrere SSO-Dokumente werden nicht von allen Protokollen als solche erkannt. Dies gilt im Besonderen für SSO mit Java™-Agenten und andere Komponenten, die die lokalen Java-Back-End-Klassen verwenden, und nur dann funktionieren, wenn ein anderer Name als das vorgegebene LtpaToken verwendet wird. Wenn die SSO-Konfiguration für eine gemischte Umgebung mit IBM(R) Lotus(R) Domino(TM) 5.0x Servern vorgesehen ist, muss der Konfigurationsname "LtpaToken" lauten, da Server der Version 5.0x nur mit diesem Konfigurationsnamen funktionieren.
Organisation	(Erforderlich) Geben Sie den Namen der Organisation ein. Dieser muss mit dem Organisationsnamen für die entsprechende Website übereinstimmen. Das SSO-Dokument wird daraufhin zusammen mit den Websitedokumenten in der Ansicht "Internet-Sites" angezeigt.
DNS-Domäne	(Erforderlich) Geben Sie die DNS-Domäne ein (z. B. ".renovations.com"), für die die Token generiert werden. Die Server mit SSO-Aktivierung müssen alle der von Ihnen angegebenen DNS-Domäne angehören. Stellen Sie bei der Eingabe der DNS-Domäne sicher, dass Sie auch den führenden Punkt eingeben. Beispiel: Geben Sie nicht `renovations.com`, sondern `.renovations.com` ein. Wenn die SSO-Domäne WebSphere-Server enthält, berücksichtigt WebSphere bei der DNS-Domäne die Groß-/Kleinschreibung. Stellen Sie also sicher, dass der Wert der DNS-Domäne richtig eingegeben wird.
Namen in LTPA-Token zuordnen	Aktivieren Sie diese Option, um den in einem von Domino erstellten LTPA-Token enthaltenen Benutzernamen dem Benutzernamen zuzuordnen, der von den WebSphere-SSO-Servern erwartet wird. Sie müssen diese Einstellung aktivieren, wenn Ihre Umgebung sowohl Domino- als auch WebSphere-Server enthält und wenn Domino und WebSphere nicht dasselbe Verzeichnis verwenden. Aktivieren Sie diese Option nicht, wenn die von Domino erstellten LTPA-Token weiterhin den eindeutigen Domino-Namen des Benutzers enthalten sollen.
Namen der Domino-Server	Geben Sie die Namen der Domino-Server ein, die an der einmaligen Anmeldung teilnehmen (z. B. Server1/Renovations, Server2/Renovations). Dieses Dokument wird für den Ersteller des Dokuments, für die in den Feldern Besitzer und Administratoren aufgeführten Personen sowie für die im Feld Namen der Domino-Server angegebenen Server verschlüsselt. Gruppen, Platzhalter und Namen von WebSphere-Servern dürfen nicht in dieses Feld eingegeben werden. Ausschließlich Domino-Server können im Feld für die Servernamen als teilnehmende Server aufgeführt werden. Anmerkung: Dieses Feld unterliegt einer Größenbeschränkung von 64 K. Sobald diese Grenze erreicht wird, wird eine Fehlernachricht angezeigt, z. B. wenn die Namen von mehreren Hundert Servern eingegeben werden. In diesem Fall sollten Sie mehrere Web-SSO-Dokumente erstellen.
Integration der einmaligen Anmeldung von Windows™	Aktivieren Sie diese Option, damit Domino-Server die einmalige Anmeldung von Windows für Web-Clients verwenden können.
Angepasster Cookie-Name für LTPA-Token	Wenn Sie nicht den Standardnamen `LtpaToken` als Browser-Cookie-Namen verwenden, geben Sie einen angepassten Namen an, den Domino für das Browser-Cookie verwenden soll. Anmerkung: Wenn Sie ein Tokenformat ausgewählt haben, in dem `LtpaToken` nicht enthalten war, wird diese Option nicht angezeigt. Tipp: Der angepasste Name ist hilfreich in Bezug auf die Kompatibilität mit IBM WebSphere Portal. Der Cookiename darf nicht mit einem Dollarzeichen beginnen und darf weder Unterstrich noch Komma, Semikolon oder Leerzeichen enthalten. Einige Browser können keine Nicht-ASCII-Zeichen verarbeiten und es dürfen möglicherweise auch andere designierte Sonderzeichen nicht verwendet werden. Bei Domino ist die Länge von Cookienamen auf 128 Zeichen begrenzt.
Angepasster Cookie-Name für LTPA-Token2	Wenn Sie nicht den Standardnamen `LtpaToken2` als Browser-Cookie-Namen verwenden, geben Sie einen angepassten Namen an, den Domino für das Browser-Cookie verwenden soll. Anmerkung: Wenn Sie ein Tokenformat ausgewählt haben, in dem `LtpaToken2` nicht enthalten war, wird diese Option nicht angezeigt. Tipp: Der angepasste Name ist hilfreich in Bezug auf die Kompatibilität mit IBM WebSphere Portal. Der Cookiename darf nicht mit einem Dollarzeichen beginnen und darf weder Unterstrich noch Komma, Semikolon oder Leerzeichen enthalten. Einige Browser können keine Nicht-ASCII-Zeichen verarbeiten und es dürfen möglicherweise auch andere designierte Sonderzeichen nicht verwendet werden. Bei Domino ist die Länge von Cookienamen auf 128 Zeichen begrenzt.
LDAP-Realm	Der Wert dieses Felds wird aus der WebSphere-Schlüsseldatei gelesen. Bearbeiten Sie dieses Feld nur, wenn Sie vom IBM Support dazu angewiesen werden.
Ablauf (Minuten)	Geben Sie den Zeitraum in Minuten ein, für den das Token gültig ist. Dieser Zeitraum beginnt mit der Ausstellung des Tokens. Das Token ist nur für die angegebene Anzahl Minuten gültig. Die Vorgabe ist 30 Minuten. Anmerkung: Wenn ein Zeitlimit für inaktive Sitzungen konfiguriert wurde, kann die Sitzung (basierend auf Inaktivität) vor dem festgelegten Zeitlimit ablaufen.
Zeitlimit für inaktive Sitzungen	(Nur Domino-SSO-Konfiguration) Aktivieren Sie diese Option, um die SSO-Sitzung eines Benutzers zu beenden, wenn für einen bestimmten Zeitraum keine Aktivitäten verzeichnet werden. Geben Sie anschließend einen Wert für das Mindestzeitlimit an. Anmerkung: Wenn Sie Websphere LTPA-Schlüssel importieren, wird diese Option im Web-SSO-Konfigurationsdokument nicht angezeigt.
Mindestzeitlimit (Minuten)	Diese Option wird angezeigt, wenn Sie das Zeitlimit für inaktive Sitzungen aktiviert haben. Geben Sie die Dauer in Minuten ein, für die eine Benutzersitzung keine Aktivitäten aufweisen darf, bevor die Sitzung beendet wird.

Falls Sie WebSphere-LTPA-Schlüssel importiert haben, füllen Sie diese Felder aus:

Tabelle 2. Felder für WebSphere-LTPA-Schlüssel

Feld Aktion

Tokenformat Wählen Sie eine der folgenden Optionen:

LtpaToken (kompatibel mit Domino 7 und früheren Versionen)
LtpaToken2 (inkompatibel mit Domino 7 und früheren Versionen, bietet jedoch SSO-Sicherheitsverbesserungen)
LtpaToken und LtpaToken2 (kompatibel mit allen Domino-Versionen)

Anmerkung: Das LtpaToken2-Format wurde in Version 5.1.1 des IBM WebSphere-Servers eingeführt. Die Unterstützung für dieses Token verbessert die Sicherheit für den SSO-Einsatz.

LDAP-Realm Geben Sie den LDAP-Realm in diesem Format an:

vollständig_qualifizierter_Hostname:Port

Dieser Realm muss für alle teilnehmenden Server gleich sein, damit der LTPA-Token-Mechanismus funktionieren kann.

LTPA-Version Der Wert dieses Felds wird aus der WebSphere-Schlüsseldatei gelesen.

7. Speichern Sie das Web-SSO-Konfigurationsdokument. Ein Nachricht an der Statusleiste gibt die Anzahl der Server/Personen an, für die das Dokument verschlüsselt wurde. Das Dokument wird in der Ansicht Internet-Sites angezeigt.

So erstellen Sie ein Web-SSO-Konfigurationsdokument, wenn Sie die Ansicht "Web-Serverkonfigurationen" verwenden

Warum und wann dieser Vorgang ausgeführt wird

Gehen Sie wie folgt vor, um ein Web-SSO-Konfigurationsdokument zu erstellen, wenn Sie einen Server der Version 5.0x oder Domino 6 oder höher verwenden, aber Ihre Websites nicht mithilfe von Websitedokumenten verwalten.

Prozedur

1. Klicken Sie in Domino Administrator auf Dateien und öffnen Sie das Domino-Verzeichnis (normalerweise NAMES.NSF) des Servers.

2. Öffnen Sie die Ansicht Server.

3. Klicken Sie auf Web-SSO-Konfiguration erstellen.

4. Klicken Sie im Web-SSO-Konfigurationsdokument auf Schlüssel.

5. Initialisieren Sie die Web-SSO-Konfiguration mit dem gemeinsamen Geheimschlüssel, indem Sie einen der beiden folgenden Schritt ausführen:

Wählen Sie Nur Domino (keine an der einmaligen Anmeldung teilnehmenden WebSphere-Server) und anschließend Domino SSO-Schlüssel erstellen aus. Führen Sie Schritt 6 nicht aus, wenn Sie diese Option auswählen. Fahren Sie stattdessen mit Schritt 7 fort.
Wählen Sie Domino und WebSphere (einmalige Anmeldung mit WebSphere) aus und fahren Sie anschließend mit Schritt 6 fort.

6. Stellen Sie das Dokument wie folgt fertig:

Tabelle 3. Felder für die SSO-Konfiguration von Domino und WebSphere

Feld	Aktion
Konfigurationsname	Geben Sie den Namen der SSO-Konfiguration ein und berücksichtigen Sie dabei die folgenden Punkte: Wenn Sie mehrere Web-SSO-Konfigurationsdokumente erstellen, geben Sie jedem Dokument einen eindeutigen Namen. Web-SSO-Dokumente werden anhand ihres Namens gesucht. Wenn mehrere Dokumente denselben Namen haben, funktioniert die SSO-Konfiguration nicht ordnungsgemäß. Das Erstellen mehrerer SSO-Dokumente funktioniert jedoch nur unter bestimmten Umständen. Mehrere SSO-Dokumente werden nicht von allen Protokollen als solche erkannt. Dies gilt im Besonderen für SSO mit Java-Agenten und andere Komponenten, die die lokalen Java-Back-End-Klassen verwenden, und nur dann funktionieren, wenn ein anderer Name als das vorgegebene LtpaToken verwendet wird. Wenn die SSO-Konfiguration für eine gemischte Umgebung mit IBM(R) Lotus(R) Domino(TM) 5.0x Servern vorgesehen ist, muss der Konfigurationsname "LtpaToken" lauten, da Server der Version 5.0x nur mit diesem Konfigurationsnamen funktionieren.
Organisation	Lassen Sie dieses Feld leer. Das Dokument wird daraufhin in der Ansicht "Webkonfigurationen" angezeigt.
DNS-Domäne	(Erforderlich) Geben Sie die DNS-Domäne ein (z. B. ".renovations.com"), für die die Token generiert werden. Die Server mit SSO-Aktivierung müssen alle derselben DNS-Domäne angehören. Stellen Sie bei der Eingabe der DNS-Domäne sicher, dass Sie auch den führenden Punkt eingeben. Beispiel: Geben Sie nicht `renovations.com`, sondern `.renovations.com` ein. Wenn die SSO-Domäne WebSphere-Server enthält, berücksichtigt WebSphere bei der DNS-Domäne die Groß-/Kleinschreibung. Stellen Sie also sicher, dass der Wert der DNS-Domäne richtig eingegeben wird.
Namen in LTPA-Token zuordnen	Aktivieren Sie diese Option, um den in einem von Domino erstellten LTPA-Token enthaltenen Benutzernamen dem Benutzernamen zuzuordnen, der von den WebSphere-SSO-Servern erwartet wird. Sie müssen diese Einstellung aktivieren, wenn Ihre Umgebung sowohl Domino- als auch WebSphere-Server enthält und wenn Domino und WebSphere nicht dasselbe Verzeichnis verwenden. Aktivieren Sie diese Option nicht, wenn die von Domino erstellten LTPA-Token weiterhin den eindeutigen Domino-Namen des Benutzers enthalten sollen.
Namen der Domino-Server	Geben Sie die Namen der Domino-Server ein, die an der einmaligen Anmeldung teilnehmen (z. B. Server1/Renovations, Server2/Renovations). Dieses Dokument wird für den Ersteller des Dokuments, für die in den Feldern "Besitzer" und "Administratoren" aufgeführten Personen sowie für die im Feld "Namen der Domino-Server" angegebenen Server verschlüsselt. Anmerkung: Gruppen, Platzhalter und Namen von WebSphere-Servern dürfen nicht in dieses Feld eingegeben werden. Ausschließlich Domino-Server können im Feld für die Servernamen als teilnehmende Server aufgeführt werden.
Integration der einmaligen Anmeldung von Windows	Aktivieren Sie diese Option, damit Domino-Server die einmalige Anmeldung von Windows für Web-Clients verwenden können.
Angepasster Cookie-Name für LTPA-Token	Wenn Sie nicht den Standardnamen `LtpaToken` als Browser-Cookie-Namen verwenden, geben Sie einen angepassten Namen an, den Domino für das Browser-Cookie verwenden soll. Anmerkung: Wenn Sie ein Tokenformat ausgewählt haben, in dem `LtpaToken` nicht enthalten war, wird diese Option nicht angezeigt. Tipp: Der angepasste Name ist hilfreich in Bezug auf die Kompatibilität mit IBM WebSphere Portal. Der Cookiename darf nicht mit einem Dollarzeichen beginnen und darf weder Unterstrich noch Komma, Semikolon oder Leerzeichen enthalten. Einige Browser können keine Nicht-ASCII-Zeichen verarbeiten und es dürfen möglicherweise auch andere designierte Sonderzeichen nicht verwendet werden. Bei Domino ist die Länge von Cookienamen auf 128 Zeichen begrenzt.
Angepasster Cookie-Name für LTPA-Token2	Wenn Sie nicht den Standardnamen `LtpaToken2` als Browser-Cookie-Namen verwenden, geben Sie einen angepassten Namen an, den Domino für das Browser-Cookie verwenden soll. Anmerkung: Wenn Sie ein Tokenformat ausgewählt haben, in dem `LtpaToken2` nicht enthalten war, wird diese Option nicht angezeigt. Tipp: Der angepasste Name ist hilfreich in Bezug auf die Kompatibilität mit IBM WebSphere Portal. Der Cookiename darf nicht mit einem Dollarzeichen beginnen und darf weder Unterstrich noch Komma, Semikolon oder Leerzeichen enthalten. Einige Browser können keine Nicht-ASCII-Zeichen verarbeiten und es dürfen möglicherweise auch andere designierte Sonderzeichen nicht verwendet werden. Bei Domino ist die Länge von Cookienamen auf 128 Zeichen begrenzt.
Ablauf (Minuten)	Geben Sie den Zeitraum in Minuten ein, für den das Token gültig ist. Dieser Zeitraum beginnt mit der Ausstellung des Tokens. Das Token ist nur für die angegebene Anzahl Minuten gültig. Die Vorgabe ist 30 Minuten. Anmerkung: Wenn ein Zeitlimit für inaktive Sitzungen konfiguriert wurde, kann die Sitzung (basierend auf Inaktivität) vor dem festgelegten Zeitlimit ablaufen.
Zeitlimit für inaktive Sitzungen	Aktivieren Sie diese Option, um die SSO-Sitzung eines Benutzers zu beenden, wenn für einen bestimmten Zeitraum keine Aktivitäten verzeichnet werden. Geben Sie anschließend einen Wert für das Mindestzeitlimit an. Anmerkung: Wenn Sie Websphere LTPA-Schlüssel importieren, wird diese Option im Web-SSO-Konfigurationsdokument nicht angezeigt.
Mindestzeitlimit (Minuten)	Diese Option wird angezeigt, wenn Sie das Zeitlimit für inaktive Sitzungen aktiviert haben. Geben Sie die Dauer in Minuten ein, für die eine Benutzersitzung keine Aktivitäten aufweisen darf, bevor die Sitzung beendet wird.

Falls Sie WebSphere-LTPA-Schlüssel importiert haben, füllen Sie diese Felder aus:

Tabelle 4. Felder für WebSphere-LTPA-Schlüssel

Feld Aktion

Tokenformat Wählen Sie eine der folgenden Optionen:

LtpaToken (kompatibel mit Domino 7 und früheren Versionen)
LtpaToken2 (inkompatibel mit Domino 7 und früheren Versionen, bietet jedoch SSO-Sicherheitsverbesserungen)
LtpaToken und LtpaToken2 (kompatibel mit allen Domino-Versionen)

Anmerkung: Das LtpaToken2-Format wurde in Version 5.1.1 des IBM WebSphere-Servers eingeführt. Die Unterstützung für dieses Token verbessert die Sicherheit für den SSO-Einsatz.

LDAP-Realm Geben Sie den LDAP-Realm in diesem Format an:

<vollständig_qualifizierter_Hostname>:<Port>

Dieser Realm muss für alle teilnehmenden Server gleich sein, damit der LTPA-Token-Mechanismus funktionieren kann.

LTPA-Version Der Wert dieses Felds wird aus der WebSphere-Schlüsseldatei gelesen.

Anmerkung:

Wenn Sie auf dem Client die Nachricht erhalten, dass ein bestimmter Schlüssel zum Verschlüsseln des Dokuments nicht gefunden wurde, müssen Sie unter Umständen das Arbeitsumgebungsdokument des Clients so ändern, dass auf einen anderen Mail-/Verzeichnisserver verwiesen wird, auf dem alle öffentlichen Schlüssel in Server- und Personendokumenten gespeichert sind.

Zugehörige Tasks
Benutzernamenzuordnung im SSO-LTPA-Token konfigurieren
Serverübergreifende sitzungsbasierte Authentifizierung (einmalige Anmeldung)
Einmalige Anmeldung von Windows für Web-Clients einrichten

Feedback zur Hilfe oder Benutzerfreundlichkeit des Produkts?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe

Feedback zur Hilfe oder Benutzerfreundlichkeit?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe

Feld	Aktion
Tokenformat	Wählen Sie eine der folgenden Optionen: LtpaToken (kompatibel mit Domino 7 und früheren Versionen) LtpaToken2 (inkompatibel mit Domino 7 und früheren Versionen, bietet jedoch SSO-Sicherheitsverbesserungen) LtpaToken und LtpaToken2 (kompatibel mit allen Domino-Versionen) Anmerkung: Das LtpaToken2-Format wurde in Version 5.1.1 des IBM WebSphere-Servers eingeführt. Die Unterstützung für dieses Token verbessert die Sicherheit für den SSO-Einsatz.
LDAP-Realm	Geben Sie den LDAP-Realm in diesem Format an: vollständig_qualifizierter_Hostname`:`Port Dieser Realm muss für alle teilnehmenden Server gleich sein, damit der LTPA-Token-Mechanismus funktionieren kann.
LTPA-Version	Der Wert dieses Felds wird aus der WebSphere-Schlüsseldatei gelesen.