SICHERHEIT

Windows-Dienst für Domino einrichten
Damit ein Domino-Server an der einmaligen Anmeldung von Windows™ für Web-Clients teilnehmen kann, muss ein Active Directory-Administrator mit dem Active Directory-Dienstprogramm "setspn" einem Active Directory-Konto mindestens einen SPN (Service Principal Name) für den Server zuweisen. SPNs entsprechen DNS-Namen in Server-URLs (zum Beispiel www.renovations.com), mit denen Web-Clients eine Verbindung zum Domino-Server herstellen.

Warum und wann dieser Vorgang ausgeführt wird

Ein SPN ist ein erforderlicher Teil der Identität eines Domino-Servers in der Active Directory-Domäne und hat folgendes Format:

HTTP/<DNS-Name>@<Active_Directory-Kerberos-Realm>

Beispiel:

HTTP/www.renovations.com@AD.EAST.RENOVATIONS.COM

Wenn Sie einen SPN zuweisen, teilen Sie dem Kerberos-Schlüsselverteilungscenter (KDC) in Windows mit, dass Kerberos-Dienst-Tickets an Domino ausgestellt werden können. Im Namen des Webbenutzers kann ein Web-Browser-Client ein Kerberos-Dienst-Ticket an Domino senden, anhand dessen der Webbenutzer authentifiziert werden kann.

Sie müssen für jeden DNS-Namen in einer URL, die zum Herstellen einer Verbindung zu einem Domino-Server verwendet wird, einen SPN zuweisen. Die folgenden Schritte verdeutlichen, wie ein SPN bei der Authentifizierung eines Webbenutzers in einer Windows-Umgebung für die einmalige Anmeldung verwendet wird:

Prozedur

1. Ein Webbenutzer gibt eine URL in einen Browser ein, um eine Verbindung zu einem Domino-Server herzustellen, der an der einmaligen Anmeldung von Windows teilnimmt.


2. Der Web-Browser extrahiert den DNS-Namen, der in der URL enthalten ist, und erstellt daraus einen SPN.
3. Der Web-Browser fordert von Active Directory ein Dienst-Ticket für den SPN an.

4. Der Web-Browser empfängt das Dienst-Ticket und sendet es an den Domino-Server.

5. Der Domino-Server akzeptiert das Dienst-Ticket und authentifiziert den Benutzer.

Schritte zum Einrichten des Windows-Dienstes für Domino-Server

Prozedur

1. Legen Sie fest, welches Active Directory-Konto den SPNs zugewiesen werden soll.

2. Optional: Weisen Sie die SPNs dem Konto zu. Optional können Sie für diesen Schritt das Dienstprogramm domspnego.cmd verwenden, das mit Domino zur Verfügung gestellt wird.

3. Stellen Sie sicher, dass der Windows-Dienst des Domino-Servers unter diesem Konto angemeldet ist.

Zugehörige Konzepte
SPNs mit dem domspnego-Dienstprogramm zuweisen
SPNs ohne das domspnego-Dienstprogramm zuweisen

Zugehörige Tasks
Entscheiden, welchen Konten die SPNs zugewiesen werden sollen
Überprüfen, ob der Domino-Server unter dem korrekten Benutzerkonto angemeldet ist
Einmalige Anmeldung von Windows für Web-Clients einrichten

Zugehörige Verweise
Beispiele für die Kontoauswahl und SPNs

Zugehörige Informationen
Fehlersuche bei der einmaligen Anmeldung von Windows für Web-Clients (SPNEGO)