配置Domino8.5.1使用windows Active Directory单点登陆

1、实现 domino 8.5.1 的 SPNEGO 机制前要明确以下信息：

· 一台微软 Windows 活动目录域服务器(BYSFT-DC.BYSFT.LOCAL)，提供 Kerberos Key 分配中心服务和 LDAP 服务。

· Domino 8.5.1 服务器(BYSFT-MAIL01.BYSFT.LOCAL)运行在一个 Windows 机器上，并且这台机器加入了活动目录的域中。

· Domino 8.5.1 服务器配置(BYSFT-MAIL01.BYSFT.LOCAL)成 “多服务器会话” 的单点登录授权机制（MSSO）。

· 需要一台加入了活动目录域中的 Windows 的客户端(windowsXP or windows7)， 这个机器上运行着支持 Domino 的浏览器(IE6,7,8)。

2、实现spnego机制的工作原理

3、配置实现

3.1 在域服务器内创建web登陆的AD用户tester03;同时在domino服务器内创建tester03的个人配置文档；具体请参考截图

3.1.1 在域控制器内创建

3.1.2 在domino服务器内注册test03个人文档（使用domino administrator）

注册成功后修改个人文档

保持internet password为空

在用户名（user name域）内添加internet格式的地址：[email protected](注意大小写)

3.2 在域内使用setspn.exe工具注册http服务的管理

3.2.1 创建domino管理账号SysAdmin（在域控制上）；并把用户加入到域管理员组内；

3.2.2 在domino服务器内使用SysAdmin账号来启动lotus domino server服务

3.2.3 为HTTP注册服务关联账户

SETSPN-to HTTP/bysft-mail01.bysft.local SysAdmin

3.3 在domino服务器上使用模板da50.ntf来创建目录辅助服务数据库,命名为myda.nsf

3.4 创建web sso 配置；允许webmail通过AD LDAP用户进行单点登录配置

3.5 配置-服务器-服务器文档 ；

3.6 配置-message-配置，notes参数配置；目的通过控制台监控SSO认证的活动

4 、通过客户端进行测试；

4.1 没有加入域或者没有启动集成身份验证是，具体描述；

4.2 也可以使用加入域，在IE选项中配置集成身份验证后；当使用域登陆后，打开IE窗口直接访问到web邮箱；

本文转自 高文龙 51CTO博客，原文链接：http://blog.51cto.com/gaowenlong/1128793，如需转载请自行联系原作者