IBM Support

关于 WebSphere Portal, Domino 扩展产品以及Domino 单点登录(SSO)的疑难解答

Troubleshooting


Problem

本文档用于 IBM® WebSphere® Portal 和 Sametime®,QuickPlace® 和/或 Domino® 数据库之间单点登录(SSO)问题的故障诊断指南。

Resolving The Problem

索引:


I. 每个产品的正确测试方法
II. 关于这三个产品的常规设置和配置
III. 对于 QuickPlace 服务器的其他步骤
IV. 对于 Sametime 服务器的其他步骤
V. 当 Portal 与 QuickPlace,Sametime 或 Domino 使用不同目录时需要的其他步骤
VI. 其他可能的已知问题和配置




I. 测试每个产品是否已配置正确:

QuickPlace (也称为 Team Workplace) --
    1. 登录到 WebSphere Portal。
    2. 更改浏览器的 URL 为 http://qpserver.domain.com/quickplace

    您的名字应该出现在页面的左上角。如果未显示,说明 QuickPlace 的单点登录(SSO)没有成功。

Sametime (也称为 Instant Messaging & Web Conferencing) --
    1. 登录到 WebSphere Portal。
    2. 更改浏览器的 URL 为 http://stserver.domain.com/stcenter.nsf
    3. 单击 'Attend a Meeting'.

    您的名字应该出现在页面的右上角。如果未显示,说明 Sametime 的单点登录(SSO)没有成功。

Domino
    1. 登录到 WebSphere Portal。
    2. 确保您已有一个 Domino 数据库,并且该数据库访问控制列表(ACL)的“-Default- ”和“Anonymous”项被设置为“无访问权限”。下一步中的示例假定该数据库名称为 test.nsf,并位于 Domino\Data目录。
    3. 更改浏览器的 URL 为 http://dominoserver.domain.com/test.nsf

    如果出现登陆页面,说明 Domino 服务器 的单点登录(SSO)没有成功。


II. 关于这三个产品的常规设置和配置:



如果您没有将与 WebSphere Portal 关联的 Domino 服务器设置为服务器单点登录(MSSO),请按照下面文档中的说明进行设置:
    “启动 Domino 与 WebSphere 应用服务器的单点登录功能” (#1098010)

如果您已经在该 Domino 服务器上设置服务器单点登录,请检查一下设置:
    A. 在 Domino 目录(Names.nsf)的 Web 配置视图中,打开 Web SSO 的 LTPA 令牌配置文档。

      1. 确保该处的 DNS 域同 WebSphere 配置的 DNS 域,以及在浏览器中访问该服务器时输入的 DNS 域是一致的。

        在 WebSphere Portal v4.x 中检查 DNS 域:
          1. 打开 WebSphere 管理控制台。
          2. 转至“控制台 -> 安全中心”。

          除了 DNS 域前的句号,在身份验证标签中的值应该与上面的 DNS 域是一致的。Domino 目录中的 DNS 域前包含句号,而 WebSphere 中未包含。
        在 WebSphere Portal v5.x 中检查 DNS 域:
          1. 打开 WebSphere 管理控制台。
          2. 单击“安全 -> 认证机制”。
          3. 在“其他属性”中,单击“单点登录(SSO)”。
        在 WebSphere Portal v6.x 中检查 DNS 域:
          1. 打开 WebSphere 管理控制台。
          2. 单击“安全性 -> 全局安全性 -> 认证机制”下的“认证机制”项。
          3. 选择“LTPA -> SSO”。

          注:除了 DNS 域前的句号,在身份验证标签中的值应该与上面的 DNS 域是一致的。Domino 目录中的 DNS 域前包含句号,而 WebSphere 中未包含。

          注:如果使用的是 Domino 6.x 服务器,就不必在端口号前加“\”符号。

      2. 确保 Domino 服务器名称包含您正在设置 SSO 的 Domino 服务器的标准层次名。

      3. 确保 WebSphere Portal 的域设置(Realm)与 WebSSO 文档中的 LTPA 域设置是一致的。
        在 WebSphere Portal v4 和 v5.0.x 中检查域设置(Realm):

        该域应该与 Portal 关联的 LDAP 服务器保持一致,并确保格式的正确性。例如,如果 WebSphere 用户存储库所关联的 LDAP 服务器为“ldap.domain.com”,并且端口为“389”,那么 LDAP 域字段就应该为“ldap.domain.com\:389”。

        ** 注:如果您使用的是 Domino 5.x 服务器,必须在“:389”之前添加“\”符号。但这对于 Domino 6.x 服务器来说不是必须的,不过添加该符号并不会导致问题。

        在 WebSphere Portal v5.1.x 中检查域设置(Realm):

        如果您启动了安全性,但没有配置对域的支持,这些步骤同样适用于 Portal 的早期版本,如 Portal v4 和 v5。

        如果您启用了安全性与域支持(通过运行配置任务 enable-security-wmmur-ldap 或 enable-security-wmmur-db),您将需要手动在 Portal 和 Domino 之间同步域的值。您可以采用如下两种方式:

        方法 #1:
        缺省情况下,在运行 enable-security-wmmur-ldap 或 enable-security-wmmur-db 任务后, 域值将被 Portal 设置为 WMMRealm。 如果您只需在 Domino 的 Web SSO 文档中更新 LDAP 域的值为 WMMRealm,您将需要重新启动 Domino 以使更改生效。

        注:LDAP 域的值是区分大小写的。例如,如果您输入 wmmRealm 而不是 WMMRealm,SSO 就会失败。

        方法 #2:
        如果您想管控 Portal 所设置的域值,请使用以下步骤:

        1. 设置 userRegistryRealm 的值。
          a. 打开服务器的管理控制台。
          b. 转至“安全性 -> 用户注册表 -> 用户定制”。
          c. 选择“用户定制属性”。
          d. 检查 userRegistryRealm 属性是否已存在。如果存在,选择该属性并进行更新。否则进行新建。
          e. 根据您的选择来设置 userRegistryRealm 的名称。
            比如,可采用 <full qualified name of the LDAP Server>:<Port> 作为该值。
            例子: myldapserver.myorg.com:389

          f. 保存更改,然后重新启动服务器。

        2. 更新文件 security.xml。
          编辑文件“AppServer/config/cells/<cellname>/security.xml”并确保在标记“<userRegistries xmi:type="security:CustomUserRegistry" ...>”下设置域属性为“<full qualified name of the LDAP Server>:<Port>”。
          例子如下:
          <userRegistries xmi:type="security:CustomUserRegistry" xmi:id="CustomUserRegistry_1" serverId="uid=wpsbind,dc=users,ou=bvt,c=de,o=ibm.com" serverPassword="{xor}..." ignoreCase="true" customRegistryClassName="com.ibm.websphere.wmm.registry.WMMUserRegistry" realm="myldapserver.myorg.com:389">

          在 WebSphere Portal v6.x 中检查域设置(Realm):
          1. 打开 WebSphere 管理控制台。
          2. 单击“安全性 -> 全局安全性 -> 用户注册表 -> 用户定制”。
          3. 选择“用户定制属性”。
          4. 检查 userRegistryRealm 属性是否已存在。如果存在,选择该属性并进行更新。
          5. 如果该属性不存在,选择更新。
          6. 根据您的选择来设置 userRegistryRealm 的名称。
          7. 保存更改,然后重新启动服务器。
        3. 从 WebSphere 中导出 LTPA 令牌,并将它导入 Domino。更多信息,请参阅以下技术说明:

          “WebSphere Portal 和其他应用程序在相同域内的单点登录问题 (比如 Lotus Domino 或 Sametime)”(#1198736

    B. 确保已启用多服务器 SSO 并能正确加载。

      1. 打开您正在配置的服务器文档,并选择“因特网协议 -> Domino Web 引擎”选项卡。确保在“会话认证”字段中的值为“多服务器”。
      2. 根据您正在运行的服务器版本,当在 Domino 中加载 HTTP 任务时您可能会看到如下信息:
        Domino v5: HTTP: 成功加载 Web SSO 配置
        Domino v6: HTTP Server: 未指定 Web SSO 配置,使用默认值('LtpaToken')。
    C. 如果您的 SSO 仍有问题,请在 Domino 服务器的文件 Notes.ini 中添加以下项(该文件位于 Domino 程序目录)。

        debug_sso_trace_level=2
        websess_verbose_trace=1
        debug_outfile=c:\outfile.txt
      然后重新启动 Domino 服务器并登录到 Portal。更改浏览器的 URL 为 http://qpserver.domain.com/database.nsf 并将所得文件 Outfile.txt 发送到 Lotus 技术支持以得到更多帮助。

      注:如果您更改了 WebSphere 安全性设置,您需要导出并重新导入 WebSphere LTPA 密钥,可参考上文中提到的文档,#1098010

      注:如果您对 Domino Web SSO 的 LTPA 令牌配置文档进行了更改,那么您需要重新启动 Domino 服务器才能使更改生效。


III. 对于 QuickPlace 服务器的其他步骤:

    A. 按照以下步骤在 QuickPlace 服务器上配置 SSO,这些内容可在 QuickPlace 管理员指南的第六章中找到。

      1. 在服务器的 Notes.ini 文件中添加以下项:
        NoWebFileSystemACLs=1
        h_ScopeUrlInQP=1

      2. 启用多服务器会话认证。

        a. 使用 Notes 客户机在 QuickPlace 服务器上打开 Domino 目录文件(Names.nsf)。
        b. 在“服务器 -> 服务器”视图中打开 QuickPlace 服务器文档。
        c. 单击“因特网协议”选项卡。
        d. 单击“Domino Web 引擎”选项卡。
        e. 在“会话认证”中选择“多服务器”。
      3. 创建或定制现有的 Domino Web 服务器配置数据库。

        出于测试目的,如果 Domino Web 服务器配置数据库(domcfg.nsf)已经存在,请将其从 Lotus 目录中删除(其位于 Domino \Data目录),并通过以下步骤创建一个新的 Domino Web 服务器配置数据库:

        a. 使用 Domino Web 服务器配置模板(5.0)创建数据库“domcfg.nsf”。
        b. 打开该新数据库。
        c. 选择“创建 -> 映射登录表单”。
        d. 在“目标数据库文件名”字段中输入“QuickPlace/resources.nsf”。
        e. 在“目标表单名称”字段中输入“QuickPlaceLoginForm”。
        f. 保存新的表单。
        一旦问题得到解决,并且您希望返回之前定制的 Domino Web 服务器配置数据库,那么需要在该数据库的原始设计上执行以下操作:

        注: 仅当您要返回到之前定制的 Domino Web 服务器配置数据库时,才需要执行这些步骤。这些步骤可以用来帮助诊断您的定制导致的问题,但应该先确认 SSO 在上述数据库是成功的。

        a. 使用 Domino Designer 打开 quickplace/resources.nsf。
        b. 打开 QuickPlaceLoginForm 表单。
        c. 从该表单中拷贝<Computed Value>字段到数据库 domcfg.nsf 的 login 表单。
    B. 修改 qpconfig.xml 的非标准专有名称(DNs)。

      例如,如果用户的 dn 是:“uid=tuser,cn=users,dc=acme,dc=com”,那关键的部分是“cn=users”。 Domino 名称在人员的公共名称之后不使用“cn”。修改“qpconfig.xml”文件中的“user_directory”,并将以下内容添加到模式部分(schema):

      <secondary_cn_component enabled="true"/>

      如果“dn”包含空格,修改“qpconfig.xml”文件中的“user_directory”,并将以下内容添加到模式部分(schema):

      <dn_delimiter>,@</dn_delimiter>
      <dn_delimiter robust_compare="true"/>

      示例,“dn”在“ou=people”和“dc=com”之间包含一个空格:

      uid=tuser,ou=people, dc=acme,dc=com

      更多信息,请参考 qpconfig_sample.xml 和 QuickPlace 管理指南。
    C. 如果您的 SSO 仍有问题,请在 Domino 服务器的文件 Notes.ini 中添加以下项(该文件位于 Domino 程序目录)。
        debug_sso_trace_level=2
        websess_verbose_trace=1
        quickplaceauthenticationlogging=5
        debug_outfile=c:\outfile.txt

      然后重新启动 Domino 服务器并登录到 Portal。更改浏览器的 URL 为 http://qpserver.domain.com/quickplace 并将所得文件 Outfile.txt 发送到 Lotus 技术支持以得到更多帮助。

      注:如果您更改了 WebSphere 安全性设置,您需要导出并重新导入 WebSphere LTPA 密钥,可参考上文中提到的文档,(#1098010)。

      注:如果您对 Domino Web SSO 的 LTPA 令牌配置文档进行了更改,那么您需要重新启动 Domino 服务器才能使更改生效。

      注:对于 QuickPlace 6.5.x 来说,WebSSO 配置文档必须被命名为“LTPAToken”。而对于 QuickPlace 7.0 或者更高版本,您可以更改这个名称。


IV. 对于 Sametime 服务器的其他步骤:
    A. 与 Sametime 关联的 LDAP 服务器是否要求绑定用户认证?

      如果需要,请添加绑定用户至 LDAP 目录的目录服务文档。
        1. 在 Sametime 服务器上打开目录服务数据库(通常也称为“da.nsf”)。
        2. 在该数据库中打开与 Sametime 关联的 LDAP 服务器的配置文档。
        3. 在 LDAP 选项卡中设置下列字段:
          用户名字段:输入一个在 LDAP 目录中存在的用户名称。
          密码字段:输入此用户的密码。
          Base DN 字段:添加 Base DN,Portal 将根据该 Base DN 以执行搜索。

        注:请确认对于 LDAP 服务器设置的端口字段是正确的。
    B. 如果您的 SSO 仍有问题,请在 Domino 服务器的文件 Notes.ini 中添加以下项(该文件位于 Domino 程序目录)。

        debug_sso_trace_level=2
        websess_verbose_trace=1
        debug_outfile=c:\outfile.txt
      然后重新启动 Domino 服务器并登录到 Portal。更改浏览器的 URL 为 http://qpserver.domain.com/stcenter.nsf 并将所得文件 Outfile.txt 发送到 Lotus 技术支持以得到更多帮助。

      注:如果您更改了 WebSphere 安全性设置,您需要导出并重新导入 WebSphere LTPA 密钥,可参考上文中提到的文档,(#1098010)。

      注:如果您对 Domino Web SSO 的 LTPA 令牌配置文档进行了更改,那么您需要重新启动 Domino 服务器才能使更改生效。

      注:如果 WebSSO 配置文件的名称不是“LtpaToken”(例如,“MyLtpaToken”),那就需要在 notes.ini 文件中添加以下代码:
        ST_TOKEN_TYPE=MyLtpaToken

        从版本 8.5 开始,参数值“ST_TOKEN_TYPE”位于文件 sametime.ini 中的“[AuthToken]”部分。


V. 当 Portal 与 QuickPlace,Sametime 或 Domino 使用不同目录时需要的其他步骤:
    A. Domino 数据库必须与 Domino 目录进行认证。如果 Portal 使用了一个不同于 Domino 的 LDAP 服务器进行用户认证,有两种方式可在 Domino 和 Portal 之间配置单点登录(SSO)。
      1. 根据 Portal 用来认证用户的目录,同步 Domino 目录的用户名和密码。
        例如,如果 WebSphere Portal 的用户目录采用的是 IBM Directory 服务器,并且用户的 dn 标识为:
          uid=wpsadmin,cn=users,dc=acme,dc=com

        ...那么需要在 Domino 中,给 wpsadmin 个人文档的用户名字段添加以下内容:
          uid=wpsadmin/cn=users/dc=acme/dc=com
          wpsadmin

        这些内容应添加在 Domino 标准名称之下,位于用户名字段的第一行。

      2. 配置目录协助文档,使 Domino 可以跟外部 LDAP 用户目录进行认证。

        关于创建和配置目录协助文档的更多信息,请参阅 IBM Lotus Domino 管理员帮助数据库。Domino 管理员帮助数据库可以在 developerWorks: Lotus 上找到。
        • 扩展 LDAP 模式,可通过添加以下属性,或使用已存在的属性:


        • NotesDN=CN=Test User1,O=ACME

          *****必须和目录协助中的属性名称保持一致*******
        • 在所有 Domino 服务器上使用目录协助文档来关联 LDAP 目录(与 Portal 正在使用的为同一个)。在 LDAP 选项卡中,添加一个包含 Notes 标准名称的 LDAP 属性。您可以使用该方法来解决多身份认证,比如,可以使用您的 Notes 用户名来连接 Domino 服务器,也可以访问邮件数据库而不需要修改相应的 ACL。
    B. 如果 QuickPlace 使用 Domino LDAP 进行用户认证,而 Portal 使用其他的 LDAP 服务器进行用户认证,请执行以下技术说明中的步骤以配置相应的环境:
      “当 WebSphere Portal 和 QuickPlace 使用不同的 LDAP 目录时,如何配置 SSO”(#1205905)
    C. 如果 Sametime 使用 Domino LDAP 进行用户认证,而 Portal 使用其他的 LDAP 服务器进行用户认证,请执行以下技术说明中的步骤以配置相应的环境:
      “当 WebSphere Portal 和 Lotus Sametime 使用不同的 LDAP 目录时,如何配置 SSO”(#1205909
    D. 如果 Sametime 使用本机 Domino 进行用户认证,而 Portal 使用其他的 LDAP 服务器进行用户认证,请执行以下技术说明中的步骤以配置相应的环境:
      “当 WebSphere Portal 和 Lotus Sametime 使用不同的用户目录时配置 SSO”(#1231292


VI. 其他可能的已知问题和配置:

1. 当 Domino 目录采用多服务器单点登录时,Domino 服务器名称不能包含任何下划线或其他特殊字符。这是一个因为 Microsoft Internet Explorer (IE)安全补丁所造成的程序限制。
    任何用户名不能与同一层次结构的 Domino 名称相同。例如,如果 Domino 服务器名称是“domsrv/acme”,那么任何个人文档在用户名字段的第一行都不能设置为“domsrv/acme”。



[{"Product":{"code":"SSHRKX","label":"WebSphere Portal"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":"--","Platform":[{"code":"PF002","label":"AIX"},{"code":"PF010","label":"HP-UX"},{"code":"PF016","label":"Linux"},{"code":"PF027","label":"Solaris"},{"code":"PF033","label":"Windows"}],"Version":"6.1.5;6.1;6.0.1","Edition":"","Line of Business":{"code":"LOB31","label":"WCE Watson Marketing and Commerce"}}]

Document Information

Modified date:
03 December 2021

UID

swg21601727