![閉じる [x]](http://dw1.s81c.com/i/c.gif){kind=small}
以下は、Quickr で SPNEGO を使用可能にするための推奨手順です。
- Domino8.5.1 および Domino8.5.1 FP3
- Quickr のインストール
- 上記 Quickr 設定のセットアップおよびディレクトリー・ユーザーへの管理アクセス権限付与の確認
- Domino SPNEGO のセットアップ (SPNEGO が Domino 上で機能することを確認する)
- Quickr SPNEGO のセットアップ
- Microsoft Windows Server Active Directory ドメイン・コントローラー:
Active Directory ドメインの機能レベル (または複数ドメインの場合、フォレストの機能レベル) は Windows Server 2003 以上に設定する必要があります。Windows Server 2003 の後方互換モードは使用できません。例えば、Windows 2000 混在モードを使用するように Windows Server 2003 を設定することはできません。ドメインおよびフォレスト機能レベルを確認するには、「Active Directory ユーザーとコンピュータ」のスナップイン・ユーティリティー (Active Directory サーバーから、「スタート」-->「すべてのプログラム」--> 「管理ツール」-->「Active Directory ユーザーとコンピュータ」を選択) のドメインを右クリックして、「プロパティ」をクリックし、「全般」タブを見ます。 - Active Directory ドメインのメンバーである Windows コンピューター上で稼働している Domino サーバー。
- マルチサーバーのセッション・ベース認証 (シングル・サインオン) 用に構成された Domino サーバー。
- Active Directory ドメインにログオンされており、Active Directory サーバーへネットワーク・アクセスが可能な Windows クライアント上で稼働している Domino によりサポートされているブラウザー。
- Active Directory にアカウントがある Web ユーザー。
- すべてのサーバーは同一のドメイン名を使用: (例) cn.ibm.com
- AD ディレクトリー・サーバーから: Windows 2003 インストール CD から AD サーバーへサポート・ツールをインストールします (「setspn」ツールを含む)。これは、Quickr の構成のために必要な一部の機能が、このサポート・ツールによりインストールされるためです。
- ADディレクトリー・サーバーから、以下のコマンドを実行してご使用の Domino サーバーの SPN (サービス・プリンシパル名) を作成します。
setspn -a HTTP/servername.cn.ibm.com servername
例:
"c:\Documents and Settings\Administrator>setspn –a HTTP/servername.cn.ibm.com servername
Registering ServicePrincipalNames for CN=SERVERNAME,CN=Computers,DC=cn,DC=ibm,DC=com
HTTP/servername.cn.ibm.com
Updated object"
注: servername.cn.ibm.com はご使用の Domino のホスト名です。
- KDC (Kerberos key Distribution Center) サービスがご使用の AD サーバーで開始されたことを確認します。
Domino 8.5.1 をインストールしてから、Domino 8.5.1 FP3 をインストールします。Domino Notes インフォメーション・センターを参照してください。
4. この Domino サーバーに Quickr サーバーをインストール
通常の Quickr のインストール説明に従います。
- Quickr サーバー接続をこの AD LDAP サーバーに構成します。例: Quickr 管理者として Quickr サーバーにログインします。「サイト管理」-->「ユーザー・ディレクトリー」を選択します。
- Quickr のローカル・ユーザーを無効にします。Quickr 管理者として Quickr サーバーにログインします (例: http://quickrserver.cn.ibm.com/lotusquickr)。「サイト管理」-->「ユーザー・ディレクトリー」をクリックして、「選択されたディレクトリーに登録されている既存のユーザーから選択する」を選択します。
- 複数の外部の LDAP ユーザーを Quickr 管理者として追加します。例: Quickr 管理者として Quickr サーバーにログインします。「サイト管理」-->「セキュリティー」を選択します。
5. Domino サーバー上のディレクトリー・アシスタンス (DA) および シングル・サインオン (SSO) の構成
DA.nsf の構成
- 「ディレクトリー・アシスタンス」テンプレートを使用して、DA.nsf を作成します。DA.nsf の作成方法およびこの DB の使用方法について詳しくは、Domino Notes インフォメーション・センター を参照してください。
- DA.nsf を開き、「Add Directory Assistance」ボタンをクリックします。「基本」タブのすべてのフィールドに入力します。「Windows single sign-on for Web Clients」が有効になっており、「Kerberos realm 」にご使用の実際のrealm (例:「CN.IBM.COM」) が入力されていることを確認します。
- 次に、「LDAP」タブをクリックして、フィールドに実装に関連する情報を入力します。検索フィルターは必ず「Active Directory」に設定する必要があります。確認をしたら、DA.nsf を保存します。
- Domino サーバー文書に DA.nsf を埋め込みます。
- 「Configuration」-「Server」-「All Server documents」ビューを選択して、Domino サーバー文書を開きます。
- 「基本」タブで、「ディレクトリー・アシスタンス・データベース名」に「DA.nsf」と入力します。
SSO の構成
- Web 構成文書をDomino Administrator クライアントから作成します。
- 「Configuration」-「Server」-「All Server documents」ビューを選択します。
- 「Web...」-->「Create Web SSO Configuration」をクリックして、Web MSSO 文書を作成します。
- 「Domino Server Names」フィールドに LTPA トークンを共有したい各サーバーの Domino 名を追加します。必ず、すべての Quickr サーバーをこのフィールドに追加してください。
- 「Token Domain」フィールドには、サーバーに使用されるインターネット・ドメイン・サフィックスを入力します (例: cn.ibm.com)。
- 「Windows single sign-on」オプションが有効になっていることを確認します。
- 新規 Domino SSO 鍵を作成し、保存して閉じます。
- Domino サーバー文書でのマルチセッションの選択
- 「Configuration」-「Serve」-「All Server documents」ビューを選択して、Domino サーバー文書を開きます。
- 「Internet Protocols」タブで、「Domino Web Engine」を選択し、「Session Authentication」で「Multiple Servers (SSO)」オプションを、「Web SSO Configuration」で「LtpaToken」オプションをそれぞれ選択します。
- Domino Administrator から domcfg.nsf を作成
- Lotus Domino Administrator クライアントを開始します。
- クライアントで、FILE\Database\New をクリックします。
- 「Server」フィールドの「Specify New Database Name and Location」セクションで、ご使用の Domino サーバーを選択します。
- 「Server」フィールドの「Specify Template for New Database」セクションで、ご使用の Domino サーバーを選択します。
- 次に、「Show Advanced Templates」のチェックが外れていることを確認してから、以下のテンプレートを選択します。「Domino Web Server Configuration (8)」(ファイル名 domcfg5.ntf が表示されます。)
- 「File name」の「Specify New Database Name and Location」セクションで、「domcfg.nsf」と入力して、この domcfg.nsf を作成します。
- domcfg.nsf データベースを開き、ビューの一番上の「ADD MAPPING」アイコンをクリックして、「FORM MAPPING」セクションで文書を作成します。
「Target Database」フィールドに次のように入力します: LotusQuickr/resources.nsf
「Target Form」フィールドに次のように入力します: QuickPlaceLoginForm - 文書を保存してデータベースを閉じます。
- Windows プラットフォーム上にご使用の Domino サーバーがあり、Active Directory ドメイン・コントローラー (AD サーバー) に接続されていることを確認します。
- Domino サーバー・マシンに管理者としてログオンし、Windows サービスとして Domino を開始して、このサービスがローカル・システム・アカウントを使用していることを確認します。
以下の手順を実行して、Quickr 用 SPNEGO を構成します。
6.1 Domino プログラム・ディレクトリーから Notes.ini を編集 (例: c:\ibm\lotus\domino)
Notes.ini を開き、以下のパラメーターを追加
QuickPlaceSPNEGO=1
6.2 Domino データ・ディレクトリーから qpconfig.xml を編集 (例: c:\ibm\lotus\domino\data)
認証セクションで、sign_in および sign_out を無効にします。
<<authentication>
<sign_out enabled="false">
<clear_browser_cache enabled="false"/>
<url/>
</sign_out>
<sign_in enabled="false"/>
</authentication>>
|
User_directory セクションで、ご使用の AD LDAP スキーマに適した変更を行います。
<
<user_directory>
<user_photo_source local="false">
<directory>
<url>
<![CDATA[
http://server.ibm.com/photo?EMAIL={email}
]]>
</url>
</directory>
</user_photo_source>
<ldap>
<base_dn>
<group>DC=litbg01,DC=swg,DC=usma,DC=ibm,DC=com</group>
</base_dn>
<schema>
<object_class>objectClass</object_class>
<user>
<object_class_value>person</object_class_value>
<common_name>cn</common_name>
<display_name>cn</display_name>
<first_name>givenname</first_name>
<last_name>sn</last_name>
<email>userPrincipalName</email>
<phone>telephoneNumber</phone>
<user_defined_field>manager</user_defined_field>
</user>
<group>
<object_class_value>group</object_class_value>
<common_name>cn</common_name>
<display_name>cn</display_name>
<member>member</member>
</group>
<dn_delimiter robust_compare="true"/>
<dn_incoming_is_native enabled="true"/>
<secondary_cn_component enabled="true"/>
<maintain_escape_character enabled="false"/>
<ldap_is_active_directory enabled="true"/>
</schema>
<search_filters>
<authentication>
<![CDATA[
(|(cn={0})(uid={0})(shortname={0}))
]]>
</authentication>
<user_lookup>
<![CDATA[
(&(objectclass=person)(givenname={0}))
]]>
</user_lookup>
<group_lookup>
<![CDATA[
(&(objectclass=group)(cn={0}))
]]>
</group_lookup>
<group_membership>
<![CDATA[
(&(objectclass=group)(member={0}))
]]>
</group_membership>
</search_filters>
<member_lookup_ui>
<column_name>
<person>sn, givenname</person>
</column_name>
<column_disambiguate>
<person>dn</person>
</column_disambiguate>
<display_max_num_names>50</display_max_num_names>
</member_lookup_ui>
<search_ui_hint>
<![CDATA[
( enter <B>last name, first name</B>)
]]>
</search_ui_hint>
<search_ui_index>givenname</search_ui_index>
<ssl protocol="3" accept_expired_certs="true" verify_servername="true"/>
</ldap>
<use_whole_dn_for_member_nsf_lookup enabled="false"/>
</user_directory>
>
|
6.3 LotusQuickr フォルダーおよび Quickr グループのセットアップ
- Quickr をインストールした後、LotusQuickr\lotusquickr フォルダーが正しく作成されていることを確認します。
- Notes 管理機能からご使用の Domino サーバーに「QuickPlaceAdministratorsSUGroup」を追加することによって、Notes Administrator からその場所を開くことができるようになります。
- LotusQuickr\lotusquickr\main.nsf を Notes Administrator から開きます。
- Main.nsf の ACL を開き、「Anonymous」役割が「No Access」に設定されていることを確認します。
Web クライアントの Windows シングル・サインオンをセットアップするには、SPNEGO を使用して IBM Lotus Domino サーバーに対する認証を行うようにブラウザーをセットアップする必要があります。
注:
- ご使用の Windows クライアントは Active Directory ドメイン・コントローラー、および DNS ポイントの AD サーバーへの接続も行います。
- AD LDAP ユーザーを使用して、ご使用のクライアントにログオンします。
Internet Explorer をセットアップするには
- Windows Active Directory ドメインにログインします。
- ブラウザーを起動して、「ツール」>「インターネット オプション」をクリックします。
- 「セキュリティ」タブをクリックします。
- 「ローカル イントラネット」を選択して、「サイト」をクリックします。
- 「プロキシ サーバーを使用しないサイトをすべて含める」にチェック・マークが付いていることを確認します。
- 「詳細設定」をクリックします。
- Domino サーバー用の URL を追加して、「OK」を 2 回クリックします。例えば、Domino サーバー名が domino1.subnet2.acme.com の場合、次のように指定します。
http://domino1.subnet2.acme.com
または、ワイルドカードを使用して、ドメイン内の、SPNEGO が有効な複数の Domino サーバーに接続できるようにします。
http://*.subnet2.acme.com
または- .subnet2.acme.com
- 「レベルのカスタマイズ」をクリックして「ユーザー認証」セクションまでスクロールし、「イントラネット ゾーンでのみ自動的にログオンする」を選択して、「OK」をクリックします。
- 「詳細設定」タブをクリックして、「セキュリティ」セクションまでスクロールし、オプション「統合 Windows 認証を使用する (再起動が必要)」が選択されていることを確認します。
- ご使用のプロキシー・サーバーが自動構成スクリプトを使用せず、手動で構成されている場合:
- 「接続」タブをクリックします。
- 「LAN の設定」をクリックします。
- 「詳細設定」をクリックします。
- Domino サーバーの URL をリスト「次で始まるアドレスにはプロキシを使用しない」に追加して、「OK」をクリックします。
- 「OK」をクリックして、ブラウザーを再起動します。
- ブラウザーから、アクセス権のある Domino サーバー上のデータベースへの URL を入力し、名前およびパスワードの入力を求められないことを確認します。例:
http://domino1.subnet2.acme.com/mydatabase.nsf
Mozilla または Firefox をセットアップするには:
- Windows Active Directory ドメインにログインします。
- ブラウザーを起動します。
- URL アドレス・ボックスに次のように入力します。
about:config - フィルター・ボックスには次のように入力します。
network.n - network.negotiate-auth.trusted-uris をダブルクリックして、Domino サーバーの URL を入力します。例:
http://domino1.subnet2.acme.com - または、ワイルドカードを使用してSPNEGO が有効な複数の Domino サーバーに接続できるようにします。例:
http://subnet2.acme.com
複数のエントリーは、コンマで区切ります。 - 「OK」をクリックして、ブラウザーを再起動します。
- ブラウザーから、アクセス権のある Domino サーバー上のデータベースへの URL を入力し、名前およびパスワードの入力を求められないことを確認します。例:
http://domino1.subnet2.acme.com/mydatabase.nsf
SSO の構成
- レジストリー・ストリング HKEY_LOCAL_MACHINE\SOFTWARE\IBM\Lotus Quickr\Desktop Integration\Settings\EnableSSO を追加します。
0 – 無効
1 – 有効 - Windows で統合 Windows 認証を有効にします。
Internet Explorer を使用
「ツール」> 「インターネット オプション」を選択します。
「詳細設定」を選択します。
「セキュリティ」セクションで、「統合 Windows 認証を使用する」を選択します。 - これにより、場所を追加する際に認証タイプとして SSO を選択できるようになります。
注: 他に以下の wiki (英語) も公開しました。この wiki ページでは、より詳細なステップや多くのスナップショットが提供されています。そちらのページを参照してください。
タグ
このタグで、My developerWorks のすべてのタイプのコンテンツを見つけるために検索フィールドを使用します。
スライダーバーを使用することで、より多く(少なく)タグを表示します。
人気のタグは、この特定のコンテンツ・ゾーン(例えば、Java テクノロジー、Linux や WebSphere など)に対するトップのタグを表示します。
マイ・タグは、この特定のコンテンツ・ゾーン(例えば、Java テクノロジー、Linux や WebSphere など)に対するお客様ご自身のタグを表示します。
このタグで、My developerWorks のすべてのタイプのコンテンツを見つけるために検索フィールドを使用します。人気のタグは、この特定のコンテンツ・ゾーン(例えば、Java テクノロジー、Linux や WebSphere など)に対するトップのタグを表示します。マイ・タグは、この特定のコンテンツ・ゾーン(例えば、Java テクノロジー、Linux や WebSphere など)に対するお客様ご自身のタグを表示します。
記事の人気タグ |
記事のマイ・タグタグ・リストへスキップ
記事の人気タグ |
記事のマイ・タグ