Troubleshooting
Problem
本文档用于 IBM® WebSphere® Portal 和 Sametime®,QuickPlace® 和/或 Domino® 数据库之间单点登录(SSO)问题的故障诊断指南。
Resolving The Problem
索引: I. 每个产品的正确测试方法 II. 关于这三个产品的常规设置和配置 III. 对于 QuickPlace 服务器的其他步骤 IV. 对于 Sametime 服务器的其他步骤 V. 当 Portal 与 QuickPlace,Sametime 或 Domino 使用不同目录时需要的其他步骤 VI. 其他可能的已知问题和配置 I. 测试每个产品是否已配置正确: QuickPlace (也称为 Team Workplace) --
2. 更改浏览器的 URL 为 http://qpserver.domain.com/quickplace 您的名字应该出现在页面的左上角。如果未显示,说明 QuickPlace 的单点登录(SSO)没有成功。 Sametime (也称为 Instant Messaging & Web Conferencing) --
2. 更改浏览器的 URL 为 http://stserver.domain.com/stcenter.nsf 3. 单击 'Attend a Meeting'. 您的名字应该出现在页面的右上角。如果未显示,说明 Sametime 的单点登录(SSO)没有成功。 Domino
2. 确保您已有一个 Domino 数据库,并且该数据库访问控制列表(ACL)的“-Default- ”和“Anonymous”项被设置为“无访问权限”。下一步中的示例假定该数据库名称为 test.nsf,并位于 Domino\Data目录。 3. 更改浏览器的 URL 为 http://dominoserver.domain.com/test.nsf 如果出现登陆页面,说明 Domino 服务器 的单点登录(SSO)没有成功。 II. 关于这三个产品的常规设置和配置: 如果您没有将与 WebSphere Portal 关联的 Domino 服务器设置为服务器单点登录(MSSO),请按照下面文档中的说明进行设置:
如果您已经在该 Domino 服务器上设置服务器单点登录,请检查一下设置:
1. 确保该处的 DNS 域同 WebSphere 配置的 DNS 域,以及在浏览器中访问该服务器时输入的 DNS 域是一致的。 在 WebSphere Portal v4.x 中检查 DNS 域:
2. 转至“控制台 -> 安全中心”。 除了 DNS 域前的句号,在身份验证标签中的值应该与上面的 DNS 域是一致的。Domino 目录中的 DNS 域前包含句号,而 WebSphere 中未包含。
2. 单击“安全 -> 认证机制”。 3. 在“其他属性”中,单击“单点登录(SSO)”。
2. 单击“安全性 -> 全局安全性 -> 认证机制”下的“认证机制”项。 3. 选择“LTPA -> SSO”。 注:除了 DNS 域前的句号,在身份验证标签中的值应该与上面的 DNS 域是一致的。Domino 目录中的 DNS 域前包含句号,而 WebSphere 中未包含。 注:如果使用的是 Domino 6.x 服务器,就不必在端口号前加“\”符号。 2. 确保 Domino 服务器名称包含您正在设置 SSO 的 Domino 服务器的标准层次名。 3. 确保 WebSphere Portal 的域设置(Realm)与 WebSSO 文档中的 LTPA 域设置是一致的。
该域应该与 Portal 关联的 LDAP 服务器保持一致,并确保格式的正确性。例如,如果 WebSphere 用户存储库所关联的 LDAP 服务器为“ldap.domain.com”,并且端口为“389”,那么 LDAP 域字段就应该为“ldap.domain.com\:389”。 ** 注:如果您使用的是 Domino 5.x 服务器,必须在“:389”之前添加“\”符号。但这对于 Domino 6.x 服务器来说不是必须的,不过添加该符号并不会导致问题。 在 WebSphere Portal v5.1.x 中检查域设置(Realm): 如果您启动了安全性,但没有配置对域的支持,这些步骤同样适用于 Portal 的早期版本,如 Portal v4 和 v5。 如果您启用了安全性与域支持(通过运行配置任务 enable-security-wmmur-ldap 或 enable-security-wmmur-db),您将需要手动在 Portal 和 Domino 之间同步域的值。您可以采用如下两种方式: 方法 #1: 缺省情况下,在运行 enable-security-wmmur-ldap 或 enable-security-wmmur-db 任务后, 域值将被 Portal 设置为 WMMRealm。 如果您只需在 Domino 的 Web SSO 文档中更新 LDAP 域的值为 WMMRealm,您将需要重新启动 Domino 以使更改生效。 注:LDAP 域的值是区分大小写的。例如,如果您输入 wmmRealm 而不是 WMMRealm,SSO 就会失败。 方法 #2: 如果您想管控 Portal 所设置的域值,请使用以下步骤: 1. 设置 userRegistryRealm 的值。
b. 转至“安全性 -> 用户注册表 -> 用户定制”。 c. 选择“用户定制属性”。 d. 检查 userRegistryRealm 属性是否已存在。如果存在,选择该属性并进行更新。否则进行新建。 e. 根据您的选择来设置 userRegistryRealm 的名称。
例子: myldapserver.myorg.com:389 f. 保存更改,然后重新启动服务器。 2. 更新文件 security.xml。
在 WebSphere Portal v6.x 中检查域设置(Realm): 1. 打开 WebSphere 管理控制台。 2. 单击“安全性 -> 全局安全性 -> 用户注册表 -> 用户定制”。 3. 选择“用户定制属性”。 4. 检查 userRegistryRealm 属性是否已存在。如果存在,选择该属性并进行更新。 5. 如果该属性不存在,选择更新。 6. 根据您的选择来设置 userRegistryRealm 的名称。 7. 保存更改,然后重新启动服务器。 “WebSphere Portal 和其他应用程序在相同域内的单点登录问题 (比如 Lotus Domino 或 Sametime)”(#1198736) 1. 打开您正在配置的服务器文档,并选择“因特网协议 -> Domino Web 引擎”选项卡。确保在“会话认证”字段中的值为“多服务器”。 2. 根据您正在运行的服务器版本,当在 Domino 中加载 HTTP 任务时您可能会看到如下信息:
Domino v6: HTTP Server: 未指定 Web SSO 配置,使用默认值('LtpaToken')。 debug_sso_trace_level=2 websess_verbose_trace=1 debug_outfile=c:\outfile.txt 注:如果您更改了 WebSphere 安全性设置,您需要导出并重新导入 WebSphere LTPA 密钥,可参考上文中提到的文档,#1098010。 注:如果您对 Domino Web SSO 的 LTPA 令牌配置文档进行了更改,那么您需要重新启动 Domino 服务器才能使更改生效。 III. 对于 QuickPlace 服务器的其他步骤: A. 按照以下步骤在 QuickPlace 服务器上配置 SSO,这些内容可在 QuickPlace 管理员指南的第六章中找到。 1. 在服务器的 Notes.ini 文件中添加以下项:
h_ScopeUrlInQP=1 2. 启用多服务器会话认证。 a. 使用 Notes 客户机在 QuickPlace 服务器上打开 Domino 目录文件(Names.nsf)。 b. 在“服务器 -> 服务器”视图中打开 QuickPlace 服务器文档。 c. 单击“因特网协议”选项卡。 d. 单击“Domino Web 引擎”选项卡。 e. 在“会话认证”中选择“多服务器”。 出于测试目的,如果 Domino Web 服务器配置数据库(domcfg.nsf)已经存在,请将其从 Lotus 目录中删除(其位于 Domino \Data目录),并通过以下步骤创建一个新的 Domino Web 服务器配置数据库: a. 使用 Domino Web 服务器配置模板(5.0)创建数据库“domcfg.nsf”。 b. 打开该新数据库。 c. 选择“创建 -> 映射登录表单”。 d. 在“目标数据库文件名”字段中输入“QuickPlace/resources.nsf”。 e. 在“目标表单名称”字段中输入“QuickPlaceLoginForm”。 f. 保存新的表单。
注: 仅当您要返回到之前定制的 Domino Web 服务器配置数据库时,才需要执行这些步骤。这些步骤可以用来帮助诊断您的定制导致的问题,但应该先确认 SSO 在上述数据库是成功的。 a. 使用 Domino Designer 打开 quickplace/resources.nsf。 b. 打开 QuickPlaceLoginForm 表单。 c. 从该表单中拷贝<Computed Value>字段到数据库 domcfg.nsf 的 login 表单。 例如,如果用户的 dn 是:“uid=tuser,cn=users,dc=acme,dc=com”,那关键的部分是“cn=users”。 Domino 名称在人员的公共名称之后不使用“cn”。修改“qpconfig.xml”文件中的“user_directory”,并将以下内容添加到模式部分(schema): <secondary_cn_component enabled="true"/> 如果“dn”包含空格,修改“qpconfig.xml”文件中的“user_directory”,并将以下内容添加到模式部分(schema): <dn_delimiter>,@</dn_delimiter> <dn_delimiter robust_compare="true"/> 示例,“dn”在“ou=people”和“dc=com”之间包含一个空格: uid=tuser,ou=people, dc=acme,dc=com 更多信息,请参考 qpconfig_sample.xml 和 QuickPlace 管理指南。
websess_verbose_trace=1 quickplaceauthenticationlogging=5 debug_outfile=c:\outfile.txt 然后重新启动 Domino 服务器并登录到 Portal。更改浏览器的 URL 为 http://qpserver.domain.com/quickplace 并将所得文件 Outfile.txt 发送到 Lotus 技术支持以得到更多帮助。 注:如果您更改了 WebSphere 安全性设置,您需要导出并重新导入 WebSphere LTPA 密钥,可参考上文中提到的文档,(#1098010)。 注:如果您对 Domino Web SSO 的 LTPA 令牌配置文档进行了更改,那么您需要重新启动 Domino 服务器才能使更改生效。 注:对于 QuickPlace 6.5.x 来说,WebSSO 配置文档必须被命名为“LTPAToken”。而对于 QuickPlace 7.0 或者更高版本,您可以更改这个名称。 IV. 对于 Sametime 服务器的其他步骤:
如果需要,请添加绑定用户至 LDAP 目录的目录服务文档。
2. 在该数据库中打开与 Sametime 关联的 LDAP 服务器的配置文档。 3. 在 LDAP 选项卡中设置下列字段:
密码字段:输入此用户的密码。 Base DN 字段:添加 Base DN,Portal 将根据该 Base DN 以执行搜索。 注:请确认对于 LDAP 服务器设置的端口字段是正确的。 debug_sso_trace_level=2 websess_verbose_trace=1 debug_outfile=c:\outfile.txt 注:如果您更改了 WebSphere 安全性设置,您需要导出并重新导入 WebSphere LTPA 密钥,可参考上文中提到的文档,(#1098010)。 注:如果您对 Domino Web SSO 的 LTPA 令牌配置文档进行了更改,那么您需要重新启动 Domino 服务器才能使更改生效。 注:如果 WebSSO 配置文件的名称不是“LtpaToken”(例如,“MyLtpaToken”),那就需要在 notes.ini 文件中添加以下代码:
从版本 8.5 开始,参数值“ST_TOKEN_TYPE”位于文件 sametime.ini 中的“[AuthToken]”部分。 V. 当 Portal 与 QuickPlace,Sametime 或 Domino 使用不同目录时需要的其他步骤:
...那么需要在 Domino 中,给 wpsadmin 个人文档的用户名字段添加以下内容:
wpsadmin 这些内容应添加在 Domino 标准名称之下,位于用户名字段的第一行。 2. 配置目录协助文档,使 Domino 可以跟外部 LDAP 用户目录进行认证。 关于创建和配置目录协助文档的更多信息,请参阅 IBM Lotus Domino 管理员帮助数据库。Domino 管理员帮助数据库可以在 developerWorks: Lotus 上找到。 NotesDN=CN=Test User1,O=ACME *****必须和目录协助中的属性名称保持一致*******
VI. 其他可能的已知问题和配置: 1. 当 Domino 目录采用多服务器单点登录时,Domino 服务器名称不能包含任何下划线或其他特殊字符。这是一个因为 Microsoft Internet Explorer (IE)安全补丁所造成的程序限制。
|
Related Information
[{"Product":{"code":"SSHRKX","label":"WebSphere Portal"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":"--","Platform":[{"code":"PF002","label":"AIX"},{"code":"PF010","label":"HP-UX"},{"code":"PF016","label":"Linux"},{"code":"PF027","label":"Solaris"},{"code":"PF033","label":"Windows"}],"Version":"6.1.5;6.1;6.0.1","Edition":"","Line of Business":{"code":"LOB31","label":"WCE Watson Marketing and Commerce"}}]
Was this topic helpful?
Document Information
Modified date:
03 December 2021
UID
swg21601727