SICHERHEIT
Ein bewährtes Verfahren besteht darin, zum Zuweisen von SPNs ein benanntes Windows™-Konto zu verwenden, allerdings benötigen einige Szenarien nicht notwendigerweise die Verwendung eines solchen benannten Windows-Benutzerkontos. Die nachfolgenden Beispiele veranschaulichen die Verwendung des Befehls setspn und erläutern die Möglichkeiten bei der Auswahl des Benutzerkontos.
Website, die von mehreren Domino-Servern über einen IP-Sprayer bedient wird
Wenn es sich bei Ihrer SSO-Umgebung um eine Website mit einem IP-Sprayer handelt, der die Verbindungsanforderungen zwischen mehreren Domino-Servern verteilt, müssen Sie die SPNs in einem benannten Benutzerkonto in Active Directory definieren. Alle Domino-Server melden sich nicht bei separaten lokalen Systemkonten, sondern bei demselben Benutzerkonto als Windows-Dienst an. Beispielsweise angenommen, ein Websitedokument ist wie folgt konfiguriert:
setspn -a HTTP/ipsprayer.renovations.com ssorenovations
setspn -a HTTP/domino1.ad.renovations.com ssorenovations
setspn -a HTTP/domino2.ad.renovations.com ssorenovations
Webbenutzer, die bei der Active Directory-Domäne angemeldet sind, werden nicht zur Eingabe von Kennwörtern aufgefordert, wenn Sie auf Domino1/Renovations oder Domino2/Renovations über HTTP- oder HTTPS-URLs zugreifen, die einen dieser DNS-Namen enthalten:
ipsprayer.renovations.com
domino1.ad.renovations.com
domino2.ad.renovations.com
Website, die von einem Domino-Server bedient wird
Wenn Ihre Website nur von einem einzigen Domino-Server bedient wird, können Sie SPNs entweder in einem benannten Benutzerkonto oder dem lokalen Systemkonto definieren. Beispielsweise angenommen, ein Websitedokument ist wie folgt konfiguriert:
setspn -a HTTP/www.sso1.renovations.com domino1
setspn -a HTTP/www.sso2.renovations.com domino1
Webbenutzer, die bei der Active Directory-Domäne angemeldet sind, werden nicht nach Kennwörtern gefragt, wenn Sie über HTTP- oder HTTPS-URLs, die entweder www.sso1.renovations.com oder www.sso2.renovations.com enthalten, auf den Server Domino1/Renovations zugreifen.
Website, die von mehreren Domino-Servern bedient wird, die DNS-Namen in URLs nicht gemeinsam nutzen
Wenn Sie über eine Website verfügen, die von mehreren Domino-Servern bedient wird, die DNS-Namen in URLs nicht gemeinsam nutzen, können Sie Folgendes ausführen:
setspn -a HTTP/domino1.ad.renovations.com domino1
setspn -a HTTP/domino2.ad.renovations.com domino2
Für Webbenutzer, die bei der Active Directory-Domäne angemeldet sind, werden keine Kennwörter abgefragt, wenn auf Domino1/Renovations über URLs zugegriffen wird, die domino1.ad.renovations.com enthalten, oder wenn auf den Server Domino2/Renovations über domino2.ad.renovations.com zugegriffen wird.
SSO-Konfiguration, die Serverdokumente verwendet
Wenn Ihre SSO-Konfiguration Serverdokumente anstelle von Websitedokumenten verwendet, können Sie wie folgt vorgehen:
setspn -a HTTP/domino3.ad.renovations.com domino3
Für Web-Clients werden keine Kennwörter abgefragt, wenn auf HTTP- oder HTTPS-URLs zugegriffen wird, die domino1.ad.renovations.com enthalten, wenn domino1 unter dem lokalen Systemkonto angemeldet ist. URLs, die domino2.ad.renovations oder domino3.ad.renovations enthalten, funktionieren ähnlich.
Zugehörige Tasks SPNs mit dem setspn-Dienstprogramm zuweisen Windows-Dienst für Domino einrichten Einmalige Anmeldung von Windows für Web-Clients einrichten
Zugehörige Informationen Fehlersuche bei der einmaligen Anmeldung von Windows für Web-Clients (SPNEGO)