使用 IBM Lotus Mobile Connect 支持对 IBM Lotus iNotes 的安全远程访问

通过本文,您将学习如何结合使用 IBM® Lotus® Mobile Connect clientless 选项和 IBM Lotus iNotes™,从公司内部网外的设备(手持设备,笔记本电脑,工作站)对企业 iNotes 服务器进行安全的远程访问。

John Kari, 高级软件工程师, EMC

John Kari 是 IBM 在北卡罗来纳州的三角研究园(Research Triangle Park)的一名高级软件工程师。他有超过 17 年的经验,目前是首席 Lotus Mobile Connect gateway 开发程序员。John 有丰富的客户支持经验,包括售前和售后支持,并且对通常的企业安全有深刻的理解,是 Lotus Mobile Connect 的 clientless 功能方面的专家。



2009 年 12 月 14 日

编辑注:熟知这个专题?想要分享您的专业知识?请马上加入 IBM Lotus 软件 wiki 计划。

简介

本文面向的读者是那些需要从 PDA、笔记本电脑或工作站等设备对企业 Lotus iNotes 服务器进行安全的远程访问的 IBM Lotus iNotes 客户,这些设备需要从公司内部网之外进行访问。通过 Lotus Mobile Connect,有两种方法可以实现这种访问。

Lotus Mobile Connect 提供了一个基于客户端/服务器的虚拟专用网(VPN)解决方案,这种解决方案要求在受支持的用户平台上安装 Lotus Mobile Connect 客户端。对于基于 HTTP 的应用程序(例如 Lotus iNotes),Lotus Mobile Connect 还提供一个 clientless 选项,这个选项不需要在用户设备上安装任何附加的软件;相反,它通过基于浏览器的登录提供安全认证(见图 1)。

本文解释如何将 Lotus Mobile Connect clientless 选项与 Lotus iNotes 结合起来使用。

图 1. Lotus Mobile Connect clientless 选项与 Lotus iNotes
Lotus Mobile Connect clientless 选项与 Lotus iNotes

为什么选择 Lotus Mobile Connect?

Lotus Mobile Connect 提供获 Federal Information Processing Standards (FIPS) 140-2 认证的平台,这种平台包含最新的安全套接字层(SSL)/ 传输层安全协议(TLS)加密程序和业界标准的认证机制。Lotus Mobile Connect clientless 选项,即 Lotus Mobile Connect HTTP 访问服务,使用与纯 VPN 客户端同样强大的认证和加密算法。可以配置 HTTP 访问服务,使之与纯 VPN 会话同时运行,提供轻巧的多功能远程访问解决方案,使 IT 管理员可以控制每个用户的访问范围。

通过 Lotus Mobile Connect 的管理控制台 Gatekeeper,可以访问所有配置选项,对加密程序、认证方法、安全限制和企业接收站进行全盘控制。

工作原理

Lotus Mobile Connect HTTP 访问服务通过强制基于远程 HTTP 的应用程序使用业界标准的 SSL/TLS 技术进行连接,保证通信的安全。SSL/TLS 加密程序是可配置的,可以对它进行限制,使之适用于获 FIPS 140-2 认证的算法。另外,还可以使用双向凭证验证,为会话增加附加的信任层。

建立安全的通信后,Connection Manager 向远程应用程序发送一个基于表单的询问,要求对方提供用户凭证。凭证信息采用 x-www-url 编码的,由 HTTP POST 操作通过安全连接发送。HTTP 访问服务解码该信息,并使用可配置的认证方法验证它。

如果验证成功,HTTP 访问服务构建一个令牌,并使用 HTTP Set-Cookie 操作模型将它发送到远程应用程序。该 cookie 包含一个 Lotus Mobile Connect 特有的加密的令牌,并开启安全和会话位。然后,远程客户端需要在将来所有的请求中包括这个 cookie。

现在,HTTP 流中有了令牌,HTTP 访问服务打开与一个企业主机的连接,并中继来回传输,就像 SSL/TLS 网关一样。

它不是什么

Lotus Mobile Connect Connection Manager 的 clientless 支持不是一个 HTTP 代理。它不缓存任何内容,也不存储 HTTP 数据流主体中包含的任何其他信息。它不是优化器、压缩器或令牌回收器,它不能刷新浏览器的缓存。由于使用安全会话 cookie,用户在完成一个应用程序会话时,必须确保退出浏览器会话。


为什么选择 Lotus iNotes?

Lotus iNotes 是一个基于 Web 的应用程序,它通过标准的 Web 浏览器提供对 Lotus Notes 邮件和个人信息管理(PIM)信息的访问。由于浏览器使用 HTTP 作为主要传输,该应用程序可以利用 Lotus Mobile Connect 的 clientless 选项,允许用户使用受支持的浏览器通过 Internet 访问企业内部网中的邮件数据库。

Lotus iNotes,前名 IBM Lotus Domino® Web Access,支持 3 种不同的使用模式。全模式提供最丰富的特性集,适用于有足够带宽的情况。对于通过高速网络连接访问邮件服务器的专用工作站来说,这种模式是首选模式。在 8.0.1 之前的 Lotus Domino 版本中,全模式是唯一的模式。它包括以下主要功能领域:

  • 欢迎页面(一个可定制的主页)
  • Mail
  • Calendar
  • Contacts
  • To-do
  • Notebook

对于某些浏览器,Lotus iNotes 还支持 Lotus Notes 和 S/MIME 加密以及缓存擦洗(cache-scrubbing)功能。和 Lotus Sametime® 服务器一起使用时,它可以提供集成的即时消息通信和出席提醒。Lotus iNotes 还通过 Domino Off-Line Services(DOLS)提供几乎所有离线功能以及本地归档功能。当与 Lotus Domino Unified Communications 一起部署时,它还提供多种统一通信特性。

Lotus Domino 8.0.1 中首次出现的 Lite 模式是一个缩减版,为带宽有限的环境作了优化。它的最初发行版只支持 Mail 功能,允许使用侧边栏有限制地访问 Calendar 数据。和全模式一样,它利用最新的 Asynchronous JavaScript™ and XML(AJAX)技术,提供富用户体验。用户界面(UI)甚至更加与 Lotus Notes 富客户端产品一致。

Ultralite 模式是在 Lotus Domino 8.0.2 中引入的,专为最新的窄幅移动设备上的浏览器设计。最初版支持 Apple iPhone 和 iPod Touch 设备。UI 完全遵从 Apple 为 iPhone 应用程序提供的建议指导原则。Ultralite 模式使用最少的脚本,并且被设计为在禁用脚本的浏览器上运行。


架构

我们来研究一下这里提到的两个产品组件 Lotus Mobile Connect 和 Lotus iNotes 的架构。

Lotus Mobile Connect HTTP 访问服务

Connection Manager HTTP 访问服务为来自任何 HTTP version 1.1 客户端数据流(例如 Web 浏览器)的 HTTP 通信提供 SSL/TLS 网关功能。这种连接无需 VPN 客户端,便可以访问基于 Web 的服务和企业中的内容。会话安全由 SSL/TLS 保证,并且只允许来自指定主机或地址范围的连接。

HTTP 访问服务是 Lotus Mobile Connect 中的一个子系统。Lotus Mobile Connect 负责将设定的配置选项应用到所有连接请求和数据传输,而这个子系统负责实施安全性措施、验证访问、生成审计信息以及将传输中转到企业中的目标服务器。

SSL/TLS

当与浏览器或客户端应用程序通信时,Connection Manager 的 HTTP 访问服务使用 SSL 或 TLS。第 2 版和第 3 版的 SSL 协议均受支持,下面是受支持的算法:

  • 公共密钥算法
    • RSA (1024-, 768-, or 512-bit keys)
  • 对称密钥算法
    • DES (56-bit key)
    • Triple DES (168-bit key)
    • RC4 (40-, 56-, or 128-bit keys)
  • 消息认证码
    • SHA-1
    • MD5

X.509 凭证可以为 SSL/TLS 通信提供凭证。这些凭证,以及用于验证其他方凭证的 root 凭证,存储在一个密钥数据库中,这个密钥数据库是随 Connection Manager 一起安装的。Connection Manager 管理员可以使用 Gatekeeper 管理控制台配置这个数据库的源。管理员还可以使用 SSL 工具包 IBM Key Management 的管理界面配置所需的 root 凭证和客户端凭证。

Lotus Mobile Connect 支持将 SSL/TLS 加密程序限制在经 FIPS 140-2 认证的那些加密程序以内,并支持拒绝只支持 SSL/TLS version 2 加密程序的连接请求。

认证

HTTP 访问服务对每个安全 HTTP 连接进行认证,检查数据流中是否包含有效的用户凭证。如果没有有效的用户凭证,则发出一个可配置的基于表单的询问,要求提供有效的用户 ID 和密码。该功能使用 Lotus Mobile Connect 所有组件可用的认证方法和算法。

认证方法是资源容器,其中定义 Lotus Mobile Connect 如何询问和验证远程用户凭证。Lotus Mobile Connect 支持使用以下资源的验证凭证的方法:

  • 遵从 LDAP V3 的目录服务器
  • RADIUS 协议服务器
  • 包括 next-token 支持的 RSA Secure ID
  • X.509 凭证交换
  • Lotus Mobile Connect 系统用户帐户

要了解关于认证方法的更多信息,请参阅 Lotus Mobile Connect Information Center 中的管理员指南。

单点登录(Single Sign-On,SSO)

HTTP 访问服务可通过轻量级第三方认证(Lightweight Third Party Authentication,LTPA)启用 SSO。LTPA 提供一种在令牌中存储用户认证信息的机制,令牌是在用户成功通过 Connection Manager 认证时生成的。令牌以密码和公共/私有密钥对加密和签名,然后存储在 HTTP cookie 中,最后包括在配置的 SSO 域中的所有请求中。

同一个域中其他启用 LTPA 的服务器共享 LTPA 密钥,所以这些服务器可以验证令牌和认证用户请求,而不需要询问用户。LTPA 令牌包括一个可配置的到期时间戳。令牌到期后,将发出新的认证询问。

LTPA 令牌用于替代特定于 Lotus Mobile Connect 的令牌,它被使用 Set-Cookie 指令以 HTTP cookie 的形式发送到 HTTP 客户端应用程序。HTTP 客户端将这个令牌包括在将来所有的 HTTP 请求中。

HTTP 访问服务资源

HTTP 访问服务资源包含告诉 Lotus Mobile Connect 如何认证用户以及将传输中转到后端服务器的何处的信息。每个 HTTP 访问服务资源可以将传输发送到一个应用程序服务器或代理。有 3 个选项可用于配置对多个后端应用程序服务器的访问:

  • Lotus iNotes Redirector。Lotus Mobile Connect 与 Lotus iNotes Redirector 紧密集成,允许单个 HTTP 访问服务定义用于多个后端 Lotus iNotes 邮件服务器。
  • Use a transcoding reverse proxy。该选项允许反向代理根据目标 URL 中包含的信息将传输路由到适当的目的地。
  • Assign different listen ports to each HTTP access services resource definition。由于每个 HTTP 访问服务资源可配置为将传输发送到不同的后端服务器或代理,因此可以配置每个服务,以侦听不同的端口。用户需要知道这个端口,并将它添加到 URL 请求中,例如:https://inotes.xyz.com:12345。
  • Use multiple Internet protocol addresses。HTTP 访问服务配置包括将服务绑定到特定 IP 地址的能力。这样一来,可以有多个 HTTP 访问服务资源侦听同一组端口。对于需要使用标准 HTTP 端口 80 和 443 的应用程序,该选项是必需的。用户看到的 URL 看上去像不同的主机名,例如:https://inotes1.example.com,https://inotes2.example.com。

可配置的基于表单的询问

Lotus Mobile Connect 在分析 HTTP 头部中的令牌后,生成询问表单,以确定浏览器类型和首选地区(见图 2)。用于该表单的模板文件随产品安装在特定于地区的子目录中。这些模板被设计为可定制,但是基本属性结构和功能不能更改。

图 2. 基于表单的询问屏幕
基于表单的询问屏幕

管理员可以随意更改背景、图像、文本等。资源文件位于安装路径外特定于地区的子目录中,如下所示:

  • AIX:/opt/IBM/ConnectionManager/http/msg/<locale>/
  • Linux / Solaris:/opt/ibm/ConnectionManager/http/msg/<locale>/
  • Windows Server:C:\Program Files\IBM\Connection Manager\http\msg\<locale>交付给浏览器的资源文件有一个 standard_ 前缀,而用于移动设备的资源文件有一个 mobile_ 前缀。这些文件是按需装载的,任何更改将在下一次访问时显现,无需重新启动服务器。移动版的询问表单按 iPhone/iPod 显示设计(见图 3)。
图 3. 移动版询问屏幕
移动版询问屏幕

当输入一个用户 ID 和密码,并单击 Login 按钮时,浏览器生成一个 URL 编码的 POST 操作,其中包含输入的字段和包括关于会话的信息的隐藏字段。

基于 HTTP 的应用程序可以回答询问,而不需要将该页面显示给用户。可以通过查询 HTTP 头部中的 Server 令牌,惟一地确定 Lotus Mobile Connect 询问。

Lotus iNotes

安装 Lotus Domino 服务器时,只要没有在定制安装时取消 Lotus iNotes 选项,便会一同安装 Lotus iNotes。要了解关于安装和配置 Lotus iNotes 的详细信息,请查阅 Lotus Domino 管理员帮助。


配置

要启用 HTTP 访问服务对 Lotus iNotes 的访问,需要对这两个组件在架构上有所选择,并进行一些配置步骤。本节描述对于每个组件的选项和需求。

Lotus iNotes

对于 Lotus Mobile Connect 访问的每个 Lotus iNotes 服务器,需要内部网络地址或主机名以及 TCP 端口,以适当地配置 Lotus Mobile Connect HTTP 访问服务。如果想对 Lotus iNotes 与 Lotus Mobile Connect 服务器之间的管道进行加密,那么对于每个 Lotus iNotes 服务器,需要将一个 PKCS12 格式的凭证导入到 Lotus Mobile Connect 的密钥数据库中。

Lotus Mobile Connect

配置 Lotus Mobile Connect 时,需要设置认证方法,并定义一个或多个 HTTP 访问服务资源实例。本节包括从 Lotus Mobile Connect 管理控制台 Gatekeeper 获取的屏幕截图。

我们来考虑一个示例架构,其中包括一个 HTTP 访问服务,它被配置为根据一个 Lotus Domino LDAP 目录服务器对用户进行认证,然后将经过认证的传输中转到一个 Lotus iNotes Redirector 节点。

以下步骤假设使用 Lotus Mobile Connect Gatekeeper 管理界面。

目录服务器资源

首先,我们使用以下步骤创建一个目录服务器资源:

  1. 右键单击一个顶级文件夹,或者创建一个新的用于包含配置信息的文件夹,并选择 Add resource - Directory server。
  2. 在 Add a Directory Server 窗口中(见图 4),输入一个 Common name(描述资源的任意格式的文本)。
  3. 输入目录服务器的主机名或 IP 地址。
  4. 输入基准标识名(Base distinguished name),即所有用户常见的最特定的后缀。这是目录树中用于解析用户帐户的起始点。单击 Next。

    图 4. Add a Directory Server 窗口
    Add a Directory Server 窗口
  5. 在接下来的屏幕上(见图 5),输入服务的端口号。
  6. 如果不允许匿名搜索,那么输入管理员的标识名和密码。
  7. 如果目录服务器要求安全连接,那么启用 Use secure connection 选项,并输入一个密钥数据库(Key database)和 stash 文件。如果目录服务器使用自签名的凭证,那么需要将那个凭证导入到密钥数据库。
  8. 单击 Next。选择一个 Primary OU,单击 Finish。

    图 5. 第二个 Add a Directory Server 窗口
    第二个 Add a Directory Server 窗口

认证 profile 资源

接下来的步骤是定义一个使用上一步的目录服务器资源的认证 profile。认证 profile 是一个容器,其中定义 HTTP 访问服务如何询问和验证用户凭证。

Lotus Mobile Connect 支持 LDAP、RADIUS/RSA Secure ID、双向凭证验证和特定于系统的认证方法。这个例子使用基于 Lotus Domino 目录服务器的 LDAP 认证:

  1. 再次右键单击 System 容器,这一次选择 Add Resource - Authentication Profile - LDAP-bind Authentication。
  2. 在 Add a New Authentication Profile 窗口(见图 6)中,输入一个 Common name 和可选的 Description(描述 profile 的任意格式的文本)。
  3. 选择一个 Password policy。该策略用于确定锁住帐户前允许登录失败的次数。要查看/编辑密码策略,可查看 Default Resources - Wireless Password Policy container。
  4. 还可以选择一个 Backup authentication profile,如果这个 profile 失效,可以使用这个备用认证 profile 连接到外部服务器,但这不是必需的。单击 Next。

    图 6. Add a New Authentication Profile 窗口
    Add a New Authentication Profile 窗口
  5. 在接下来显示的窗口中(见图 7),选择之前定义的 Directory Server。
  6. User key field 是 Lotus Mobile Connect 用于搜索目录服务器,以查找凭证询问所提供的用户 ID 的属性。它默认为 mail,但也可以设为属于 LDAP 中的用户记录的任何属性。

    图 7. 第二个 Add a New Authentication Profile 窗口
    第二个 Add a New Authentication Profile 窗口
  7. 如果想将访问限定于某些组或类型的雇员,可以输入 Additional search criteria,例如组信息或雇员类型。该字段要求 X.500 表示法,例如(&(employeeType=active)(group=remoteAccess))。
  8. 设置 Maximum number of processing threads。每个活动会话被分配一个负责处理它的线程。该线程负责客户端浏览器与后端应用程序服务器之间的所有数据交换。为获得最佳线程数,需要经过一些试验和失败,但一个很好的经验法则是,每 100 个并发会话分配一个线程。单击 Next。
  9. 在接下来的窗口中(见图 8),如果需要单点登录(SSO),选择 Enable LTPA 选项。本文后面将详细描述完成 SSO 配置所需的步骤。现在可以暂时不选这个选项。单击 Next。

    图 8. 第三个 Add a New Authentication Profile 窗口
    第三个 Add a New Authentication Profile 窗口
  10. 在接下来的窗口中,选择 Primary OU 并单击 Finish。

创建资源后,可以在 Properties 面板上发现更多配置选项。可以通过查阅系统管理员指南,或者查看属性面板并选择 “Tip on a specific option”,获得更多关于这些选项的信息。

HTTP 访问服务资源

现在,我们必须创建一个 HTTP 访问服务资源。HTTP 访问服务被设计为将经过认证的传输中转到一个后端应用程序服务器或代理。多个后端应用程序服务器需要多个 HTTP 访问服务定义。

对于 Lotus iNotes,Lotus Mobile Connect 包含与 iNotes Redirector 功能一起使用的集成代码,允许一个 HTTP 访问服务将传输中转到多个 Lotus iNotes 邮件服务区。

HTTP 访问服务要求公共凭证,以保证通信安全。Lotus Mobile Connect 提供了一个与密钥数据库一起使用的实用程序,用于生成请求给定计算机名的凭证时所使用的 Certificate Request Message(CRM),以及生成自签名的凭证。这个实用程序名为 wg_keyman,它位于安装目录下的 bin 子目录中。

使用以下步骤添加一个 HTTP 访问服务请求:

  1. 为了添加一个 HTTP 访问服务资源,右键单击 Connection Manager 资源,选择 Add - HTTP Access Service。这时出现图 9 所示窗口。

    图 9. 添加一个 HTTP 访问服务
    图 9. 添加一个 HTTP 访问服务
    • 在 Service URL 字段中,输入与用于确保连接安全的凭证中所包含的 URL 匹配的文本字符串。
    • 在 TCP Port to listen on 字段中,输入服务为获得访问请求而侦听的 TCP 端口。默认为 443。
    • 在 Description 字段,输入任意格式的文本,以描述服务。
    • 在 Current state 字段中,选择服务的状态。active 状态意味着 Connection Manager 激活服务;defined 状态相当于停止状态,在此状态下,Connection Manager 不启动服务,使之不可达。
  2. 单击 Next;这时出现图 10 显示的窗口。

    图 10. 指定 HTTP 访问服务的操作模式
    指定 HTTP 访问服务的操作模式
    • 在 HTTP Proxy address 字段中,输入作为认证的传输的重定向目的地的反向代理或应用程序服务器的主机名或 IP 地址。
    • 在 HTTP Proxy port 字段中,输入作为认证的传输的重定向目的地的反向代理或应用程序服务器的 TCP 端口。
    • 选择 Require SSL to proxy 选项,要求 Lotus Mobile Connect 服务器与代理或应用程序服务器之间使用 SSL/TLS。
    • 在 Authentication Profile 字段中,输入用于验证远程用户凭证的认证方法。
    • 如果设置 SSO Domain 选项,那么该值将覆盖认证方法中设置的值。如果不设置该选项,那么将使用认证方法中的属性。
  3. 单击 Next;这时将显示图 11 所示窗口。

    图 11. 指定最大线程数和空闲时间
    指定最大线程数和空闲时间
  4. 在 Maximum number of processing threads 字段中,输入并发处理的线程的数量。在设置这个值时,需要考虑并发会话的数量和处理器的数量。对于有 1000 个并发会话的双处理器系统,建议值为 5。
  5. 在 Maximum idle time 字段中,输入会话可空闲的最长时间,超过这个时间后,Connection Manager 将清理会话的认证令牌,迫使客户端重新授权。
  6. 选择 Bind port to a specific address 选项,将服务绑定到特定的 Internet 地址。通过这样的绑定,可以配置多个 HTTP 访问服务资源侦听相同的端口,从而允许根据初始请求的 Internet 地址使用不同的后端服务器。可以使用 IP 别名将多个地址指定给一个网络接口。
  7. 在 Address to bind to 字段,输入将服务绑定到的 Internet 地址或主机名。

使用凭证保证 HTTP 访问服务的安全

HTTP 访问服务上的通信通过 Secure Sockets Layer (SSL) / Transport Layer Security (TLS) 获得安全保证。这要求将外部可见的主机名的凭证存储在一个 Cryptographic Message Syntax (CMS) 密钥数据库文件中。

Lotus Mobile Connect 附带有一个实用程序 wg_ikeyman,用于管理密钥数据库文件。该实用程序生成自签名的凭证和 CRM,以便从认证中心(certificate authority)获得一个公共凭证。

自签名凭证也可以使用,但是要求用户第一次连接到 HTTP 访问服务时接受并导入凭证。由于这个原因,建议使用有效的公共凭证。要生成和使用自签名凭证,可遵循以下步骤:

  1. 从命令行输入 wg_ikeyman。
  2. 可以使用新的密钥数据库文件,或者使用 Lotus Mobile Connect 安装的密钥数据库文件:

    • 要使用已有的文件,可选择 Key Database File > Open。将 Key database type 设为 CMS,使用 Browse 按钮浏览至 Lotus Mobile Connect 安装目录,然后选择 http.trusted.kdb 文件。
    • 如果要创建新的密钥数据库文件,应确保选择 “Stash the password to a file” 选项。
  3. 输入密码;默认为 “trusted”。
  4. 要创建自签名凭证,选择 Create - New Self-Signed Certificate。至少要输入一个 key label 和一个 common name。common name 应该与 Lotus Mobile Connect 服务器的全限定外部主机名相匹配。
  5. 单击 OK,然后退出 IBM Key Management 应用程序。
  6. 使用 Gatekeeper,打开 HTTP 访问服务属性面板,选择 SSL 选项卡,确认 File name of key database 和 File name of stash password 字段设置正确。尽可能使用全路径。
  7. 还可以选择 SSL Ciphers 选项卡,然后选择适当的加密程序。默认设置是允许所有 V2 和 V3 加密程序。单击 OK。

单点登录(Single Sign-On,SSO)

为 Lotus Mobile Connect 和 Lotus iNotes 启用 SSO 时,需要由 Lotus Mobile Connect 生成一个公共密钥文件,然后由 Lotus iNotes redirector 和邮件服务器节点导入该文件。

在 Lotus Mobile Connect 上配置/启用 SSO

可以使用 Gatekeeper 为 Lotus Mobile Connect 启用 SSO,方法是导航到 HTTP 访问服务使用的认证方法,并修改 Properties 面板上的 LTPA/SSO 选项卡(见图 12),步骤如下:

  1. 选择 Enable LTPA 复选框。
  2. 输入 LTPA token realm/domain。该值通常设为用于认证的 LDAP 或 RADIUS 服务器的全限定主机名。
  3. 选择 LTPA token user identification field。对于使用 LDAP 的认证,选择 distinguished name;对于使用 RADIUS 的认证,则选择 uid;还有一个选项是 Secure ID。
  4. 选择 Enable SSO 复选框,并设置一个 SSO Domain。SSO 域用于通知浏览器何时将 LTPA 令牌作为 cookie 包括在 HTTP 头部流中。

    对于 HTTP 访问服务,这个值应该设为用于从浏览器访问 HTTP 访问服务的全限定外部主机名。如果使用不止一个主机名,可以将它设为外部域。也可以在 HTTP 访问服务定义中设置这个值,在此情况下设置的值将覆盖认证 profile 中的设置。

  5. 选择 Enable SSO over SSL connections only。LTPA 令牌是敏感信息,只有当在安全连接上与 Lotus Mobile Connect 通信时,浏览器才应该包括 LTPA 令牌。

    图 12. LTPA/SSO 选项卡
    LTPA/SSO 选项卡
  6. 在 LTPA key action 区,选择 Generate new keys 单选按钮,并输入 6-32 个字符的密码。记住这个密码。在 iNotes 服务器上导入密钥文件时需要这个密码。
  7. 单击 Apply 按钮,生成用于生成 LTPA 令牌的密钥。这些密钥由 Lotus Mobile Connect 内部存储,现在必须导出。

将 LTPA 密钥导出到文件

之前的步骤生成用于生成 LTPA 令牌的密钥和密码。为了使 SSO 正常工作,必须将该数据导出到基于该令牌授予访问权的其他应用程序服务器可接受的格式中。为了让 Lotus Mobile Connect 导出密钥和配置数据,遵循以下步骤:

  1. 在 LTPA/SSO 选项卡的 LTPA key action 区(见图 12),选择 Export to keyfile 单选按钮,然后输入一个文件名。这里应提供文件的完整路径。
  2. 单击 Apply 导出文件。该密钥文件是一个用户可读的 ASCII 文件,可传输到 iNotes 应用程序服务器。

在 Lotus iNotes 服务器上导入 LTPA 密钥文件

为了让 SSO 正常工作,所有服务器必须同意密钥、用户信息和各种其他配置数据。Lotus Mobile Connect 已经生成了密钥文件。现在,所有参与的 iNotes 服务器必须导入该文件。遵循以下步骤:

  1. 启动 Lotus Domino Administration 客户端,选择 File - Open Server。
  2. 输入使用的服务器的名称,然后在 Configuration 选项卡上,展开 Server 并从左侧导航面板选择 All Server Documents。
  3. 在 Server 文档中,从菜单中选择 Create - Web SSO Configuration。
  4. 在 Web SSO Configuration 窗口中(见图 13),输入一个唯一的 Configuration Name,例如 LtpaTokenLOTUSMOBILECONNECT,并输入应用程序服务器所在的 DNS Domain,例如 .xyz.com。然后,在 Participating Servers 区,添加参与 SSO 配置的 Lotus Domino 服务器的名称。

    图 13. Web SSO Configuration 窗口
    Web SSO Configuration 窗口
  5. 单击 Keys(在 Web SSS Configuration 窗口顶部的菜单条上),选择 Import WebSphere LTPA Keys。
  6. 在 Enter Import File Name 提示框中(见图 14),输入从 Lotus Mobile Connect Export Key file 步骤获得的密钥文件的位置,并单击 OK。

    图 14. Enter Import File Name 提示框
    Enter Import File Name 提示框
  7. 输入密钥文件密码,然后单击 OK。
  8. 这时出现一个窗口,显示 LTPA 令牌配置信息。单击 Save & Close。
  9. 返回 Server 文档中的 Configuration 选项卡,选择 All Server Documents,然后选择要将密钥文件导入到的服务器。
  10. 在 Server 文档中,选择 Internet Protocols 选项卡,然后选择 Domino Web Engine 选项卡(见图 15)。
  11. 将 Session authentication 字段设为 Multiple Servers (SSO),并将 Web SSO Configuration 字段设为以上步骤 4 中设置的 Configuration Name。
  12. 保存并关闭文档,重新启动服务器。

    图 15. Domino Server 文档
    Domino Server 文档

结束语

如今,工作人员变得越来越具有移动性。企业需要将电子邮件和 PIM 应用程序的范围扩展到通过企业或外部提供的移动设备、笔记本电脑和工作站使用浏览器进行访问的用户。以 Lotus iNotes 作为基于 Web 的应用程序,以 Lotus Mobile Connect 保证远程访问的安全,这样的组合为 Lotus Notes 客户满足以上关键业务需求提供了功能丰富、安全可靠的解决方案。

参考资料

条评论

developerWorks: 登录

标有星(*)号的字段是必填字段。


需要一个 IBM ID?
忘记 IBM ID?


忘记密码?
更改您的密码

单击提交则表示您同意developerWorks 的条款和条件。 查看条款和条件

 


在您首次登录 developerWorks 时,会为您创建一份个人概要。您的个人概要中的信息(您的姓名、国家/地区,以及公司名称)是公开显示的,而且会随着您发布的任何内容一起显示,除非您选择隐藏您的公司名称。您可以随时更新您的 IBM 帐户。

所有提交的信息确保安全。

选择您的昵称



当您初次登录到 developerWorks 时,将会为您创建一份概要信息,您需要指定一个昵称。您的昵称将和您在 developerWorks 发布的内容显示在一起。

昵称长度在 3 至 31 个字符之间。 您的昵称在 developerWorks 社区中必须是唯一的,并且出于隐私保护的原因,不能是您的电子邮件地址。

标有星(*)号的字段是必填字段。

(昵称长度在 3 至 31 个字符之间)

单击提交则表示您同意developerWorks 的条款和条件。 查看条款和条件.

 


所有提交的信息确保安全。


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=10
Zone=Lotus
ArticleID=456027
ArticleTitle=使用 IBM Lotus Mobile Connect 支持对 IBM Lotus iNotes 的安全远程访问
publish-date=12142009