Инструкция по настройке модуля sso для Company Media X Содержание

ЗАО «Компания «ИнтерТраст» Россия, 125319, г. Москва, ул. Усиевича, 3 тел.: (495) 956-79-28 www.intertrust.ru

1Инструкция по настройке модуля SSO для Company Media 4.2.x

1. Общие положения

2. Требования к инфраструктуре

   1. Требования к Версиям используемого ПО

1. 
   Режим работы контроллера AD: Windows Server 2008
   
2. 
   Включена служба ОС Windows Kerberos Key Distribution Center
   

1. 
   Доступ в ОС Windows: администратор домена AD (для выполнения разовых настроек:создания ключей служб, предоставления доступа к локальным машинам)
   
2. 
   Доступ в Domino: администратор с full-access, доступ к адресной книге для редактирования настроек веб-сайтов, SSO
   
3. 
   Доступ в ОС серверов СМ4: доступ на уровне локального администратора, доступ на запись в каталог C:\windows (%system%)
   

1. 
   Сервер СМ4 введен в домен AD, для которого настраивается SSO
   
2. 
   A-запись в DNS: имя хоста, для которого выполняются команды ниже должно являться A-записью в DNS (не cname)
   
3. 
   Для каждой учетной записи из Active Directory:
   должна быть создана соответствующая учетная запись в каталоге Domino Directory,
   в поле krbPrincipalName в DD указано доменное имя учетной записи из Active Directory
   
4. 
   Выключена настройка «Load Internet configurations from Server\Internet Sites documents»
   
5. 
   Создан общий документ Configuration Settings ( с параметром «*» )
   

3. Перечень работ по настройке SSO

• 
  Настройки в службе каталога Active Directory: регистрация сервисных учетных записей, создание ключей служб, предоставление прав доступа на серверы СМ4
  
• 
  Настройка ОС сервера Company Media
  
• 
  Настройки сервера Domino
  
• 
  Настройки сервера приложений Tomcat
  
• 
  Настройка веб-браузеров на клиентских рабочих местах
  

1. 
   Установить свойства созданных в п.1 учетных записей с помощью оснастки Active Directory Users and Computers или ADSIEdit.
   

2. 
   Установить новые пароли для созданных учетных записей,
   например KrbPass456
   

1. 
   запустить cmd.exe интерпретатор командной строки
   
2. 
   выполнить команду создания ключей ktpass (см. п .5 ) для настраиваемых учетных записей, серверов и домена.
   Пример выполнения команды для учетной записи web.cmt1и сервера cmt1.vtc.local
   в домене VTC.LOCAL :
   

3. 
   сохранить полученные ключи (файлы *.keytab )
   
4. 
   сохранить вывод консоли в текстовый файл
   

3.1.3.2. описание параметров команды ktpass:

1. 
   На сервере CM4 добавить созданные учетные записи в локальных администраторов
   
2. 
   Настроить запуск служб "Tomcat", "Lotus Domino Server..." и "Lotus Domino Diagnostics..." от имени сервисной учетной записи, например "web.cmt1".
   
3. 
   При выборе учетной записи будет подставлена запись формата HTTP\@vtc.local. Заменить на доменное имя пользователя: web.cmt1@vtc.local
   
4. 
   убедиться, что появилось сообщение "the account has been granted the logon as a service right"
   
5. 
   перезапустить службы Domino и Tomcat на сервере СМ4
   

1. 
   Создать файл с именем krb5.ini
   

2. 
   Скопировать созданный файл krb5.ini на сервер СМ4 в каталог Windows (C:\windows)
   

1. 
   В документе "Configuration Settings" для всех серверов (*) на вкладке LDAP включить настройку:
   

2. 
   Проверить с помощью команды ldapsearch поиск из LDAP Domino.
   Поиск должен возвращать все учетные записи пользователей Domino:
   C:\Lotus\Notes>ldapsearch.exe -h 169.254.52.1 -D "cn=ldapuser,o=intertrust" -w "password456" -b "o=Intertrust" "(cn=*)"
   

3. 
   отключить настройку в док-те сервера load configuration from internet sites
   
4. 
   настроить host name на вкладке HTTP : cma01.vtc.local
   
5. 
   создать конфигурацию SSO для сервер-док-та аналогично скриншоту:
   

6. 
   Создать ключи SSO для созданной конфигурации: нажать кнопку «Create WebSSO keys»
   
7. 
   Настроить вкладку Domino Web Engine аналогично рис.3.2 (Session Authentication: Multiple Servers)
   
8. 
   Выбрать полученный документ LTPA Token в п Web SSO Configuration
   
9. 
   (Проверить, создалась ли настройка LTPA Token можно в АК Domino, вид $WebSSOConfig)
   

10. 
    Для отладки в notes.ini сервера Domino установить переменные (выключить после успешной проверки)
    

11. 
    Добавить переменную в notes.ini сервера
    

12. 
    Создать полнотекстовый индекс для АК Домино.
    

1. 
   Скопировать файл log4j.xml в папку /lib. Содержимое файла указано в приложении 1.
   
2. 
   Исправить путь к файлу журналирования в скопированном файле:
   
   C:/tomcat/logs/cmj4.log"/>
   

1. 
   сервис/свойства обозревателя/безопасность/"местная интрасеть"
   
2. 
   нажать узла/дополнительно/добавить имя хоста сервера СМ4, например: "http://cmt1.vtc.local/" и выключить требование https
   
3. 
   нажать другой: проверка подлинности пользователя/вход выбрать "автоматический вход в сеть только в зоне интрасети"
   

1. 
   В строке браузера ввести : about:config
   
2. 
   Открыть параметр «network.negotiate-auth.trusted-uris»
   
3. 
   Ввести имя хоста сервера СМ4
   

1. 
   Выбрать учетную запись в Active Directory для тестов, пример: [email protected]
   
2. 
   В Domino Directory выбрать или создать тестового пользователя в формате:
   

3. 
   в поле krbPrinicpalName записать UPN уч.записи ( формат [email protected] )
   
4. 
   В БД делопроизводства выбрать или создать РКК, доступный тестируемому пользователю
   
5. 
   Записать UNID документа и ReplicaID БД, в к-й содержится документ
   
6. 
   перейти по URL вида: http://cmt01.vtc.local/cmjrest/api/ids/44257A620030FB24:C6076C28B7A4C5FF44257C010039B61A
   
7. 
   ожидаемый результат - появление диалога сохранения файла без запроса пароля