配置Domino8.5.1使用windows Active Directory单点登陆 推荐

配置Domino8.5.1使用windows Active Directory单点登陆

1、实现 domino 8.5.1 的 SPNEGO 机制前要明确以下信息：

· 一台微软 Windows 活动目录域服务器(BYSFT-DC.BYSFT.LOCAL)，提供 Kerberos Key 分配中心服务和 LDAP 服务。

· Domino 8.5.1 服务器(BYSFT-MAIL01.BYSFT.LOCAL)运行在一个 Windows 机器上，并且这台机器加入了活动目录的域中。

· Domino 8.5.1 服务器配置(BYSFT-MAIL01.BYSFT.LOCAL)成 “多服务器会话” 的单点登录授权机制（MSSO）。

· 需要一台加入了活动目录域中的 Windows 的客户端(windowsXP or windows7)， 这个机器上运行着支持 Domino 的浏览器(IE6,7,8)。

2、实现spnego机制的工作原理

3、配置实现

3.1 在域服务器内创建web登陆的AD用户tester03;同时在domino服务器内创建tester03的个人配置文档；具体请参考截图
3.1.1 在域控制器内创建




3.1.2 在domino服务器内注册test03个人文档（使用domino administrator）
















注册成功后修改个人文档









保持internet password为空

在用户名（user name域）内添加internet格式的地址：tester03@BYSFT.LOCAL(注意大小写)





3.2 在域内使用setspn.exe工具注册http服务的管理
3.2.1 创建domino管理账号SysAdmin（在域控制上）；并把用户加入到域管理员组内；


3.2.2 在domino服务器内使用SysAdmin账号来启动lotus domino server服务








3.2.3 为HTTP注册服务关联账户
SETSPN-to HTTP/bysft-mail01.bysft.local SysAdmin





3.3 在domino服务器上使用模板da50.ntf来创建目录辅助服务数据库,命名为myda.nsf




















3.4 创建web sso 配置；允许webmail通过AD LDAP用户进行单点登录配置












3.5 配置-服务器-服务器文档 ；








3.6 配置-message-配置，notes参数配置；目的通过控制台监控SSO认证的活动

4 、通过客户端进行测试；

4.1 没有加入域或者没有启动集成身份验证是，具体描述；








4.2 也可以使用加入域，在IE选项中配置集成身份验证后；当使用域登陆后，打开IE窗口直接访问到web邮箱；




参考文档：

http://www-10.lotus.com/ldd/dominowiki.nsf/dx/How_to_configure_the_Windows_single_sign-on_(SSO)_for_Web_clients_(SPNEGO)_in_an_existing_Domino_environment_(Tutorial)

http://www.ibm.com/developerworks/cn/lotus/quickr-domino85-sso/index.html

http://www-10.lotus.com/ldd/dominowiki.nsf/dx/How_to_configure_the_Windows_single_sign-on_(SSO)_for_Web_clients_(SPNEGO)_in_an_existing_Domino_environment_(Tutorial)

http://www.docin.com/p-220610687.html