客户对 IBM 软件的可配置性需求不断提升,以便能与其现有的 IT 和安全性基础设施中的其他第三方软件实现无缝连接。Netegrity SiteMinder 就是这样一种客户经常部署的第三方软件。SiteMinder 是一种安全性软件解决方案,能实现整个组织的安全性身份管理,控制对企业信息资产的访问。SiteMinder 提供了跨单个和多个域的单点登录(single sign-on,SSO)功能,简化了跨多种 Web 和应用服务器及跨多种操作系统应用程序的使用。还为用户身份验证和访问管理提供了基于策略的集中控制。(有关使用 SiteMinder 和 IBM/Lotus 产品的详细信息,请参阅 developerWorks:Lotus 文章“Netegrity SiteMinder authentication with Domino Document Manager 7”。)
本文将概述成功集成 Sametime 6.5x 服务器和 SiteMinder 5.5 的一种方法,使用 SiteMinder Policy 服务器上配置的基本身份验证模式可以为 Sametime 服务器组件提供单点登录。切记,要成功集成 Sametime 6.5x 服务器和 SiteMinder 5.5,还有其他许多方法。然而在本文中,我们只涉及其中的一种配置。我们的配置信息是基于成功的集成配置的,不论是在 IBM 内部,还是在外部客户站点上,我们都进行过这种配置。我们假设读者具备 Domino、Sametime、LDAP 配置和管理的工作经验。
如果您对类似于 Netegrity SiteMinder 这样的 IBM 安全管理解决方案感兴趣,请参阅 developerWorks Tivoli 安全产品页面。
集成过程
本文中,我们将集中讨论如下集成场景:如何集成 SiteMinder 和 Sametime 6.5x 服务器,Sametime 6.5x 已经配置为使用其本地 Domino 目录。下列步骤概述了在这种场景下成功配置 Netegrity SiteMinder 和 Sametime 的方法。
LDAP 帐户配置
Netegrity SiteMinder 只对 LDAP 帐户进行身份验证(而不对 Domino 目录帐户进行身份验证)。对于本文中概述的配置,需要向每个将访问您的 Sametime/SiteMinder 配置的 LDAP 用户帐户中添加一个现有字段,并将相应 Domino 用户的 Notes 专有名称添加到这个字段中。
例如,假设在这个配置中您将使用如下 5 个 LDAP 帐户。在 Domino 服务器上,必须有 5 个等效的 Domino 帐户。要使本文中探讨的配置生效,需要将额外的值添加到每一个 LDAP 帐户,在其中保存相应的 Domino 目录下个人文档的专有名称 Notes。在下列 5 个例子中,每一个 LDAP 帐户都将添加一个名为 notesdn 的字段来保存该值:
| uid: | givenName | sn | cn | userPassword | notesdn |
| s65xadmin | ST65x | Administrator | Administrator, ST65x | <必须与 Domino 帐户的口令/网络口令相同> | CN=Sametime Admin/O=ST65x |
| testuser1 | Test | User1 | User1, Test | <必须与 Domino 帐户的口令/网络口令相同> | CN=Test User1/O=ST651 |
| testuser2 | Test | User2 | User2, Test | <必须与 Domino 帐户的口令/网络口令相同> | CN=Test User2/O=ST651 |
| testuser3 | Test | User3 | User3, Test | <必须与 Domino 帐户的口令/网络口令相同> | CN=Test User3/O=ST651 |
| testuser4 | Test | User4 | User4, Test | <必须与 Domino 帐户的口令/网络口令相同> | CN=Test User4/O=ST651 |
如果不能将新字段添加到 LDAP 帐户中,那么可以使用 LDAP 帐户中的现有空字段来保存该信息(例如,description 或 comments 字段)。
需要注意的是,对于这种特殊的配置,需要使用一个进程来确保 Domino 目录和 LDAP since 之间的数据同步,通常,是在目录不断更改(添加/删除用户,等等)的环境中使用这种进程。
安装和配置 Domino 和 Sametime 6.5x 服务器
注意:这些步骤描述了能够支持 Sametime 的基本 Domino 服务器安装。有关 Domino 服务器安装和 Domino 环境的详细信息,请参阅 Lotus Domino 文档。
对于 Domino 服务器的安装,应该进行如下配置:
不要选择 Partitioned Server Installation。
当提示 Type of Setup 时,选择 Domino Application Server。
安装完成后,适当地配置 Domino 服务器。完成 Domino 服务器的基本配置后,请定制服务器文档,如下所示:
| Basics tab “基本”附签 | 确保将一个完全限定的 Internet 主机名设置为 servername.domain.com。 将“Is this a Sametime Server”设为 Yes。 |
| Ports\Notes Network Ports 附签 | 确保启用了 TCPIP 端口,并在 Net Address 字段中设置了完全限定的 Internet 主机名 (servername.domain.com)。 |
| 安全性 | 运行不受限制的 LotusScript/Java 代理。 必须允许用来签署 Sametime 代理的签名在 Sametime 服务器上运行不受限制的 IBM LotusScript 和 Java 代理。要确保 Sametime 代理签名者能够在 Sametime 服务器上运行不受限制的 LotusScript 和 Java代理,请打开 Sametime 服务器的服务器文档。选择 Security 附签,输入 Sametime 代理的签名人(例如,Sametime)。在“Run unrestricted LotusScript/Java agents”字段中输入 Development/Lotus Notes Companion Products。然后保存对服务器文档的更改。或者,也可以在您的环境中使用一个具有运行代理权限的 ID 来为所有数据库签名。 |
| Internet Protocols\HTTP 附签 | 确保将主机名设置为 servername.domain.com。 将“Allow HTTP clients to browse databases”设为 Yes。 将 Home URL 设为 /stcenter.nsf。 |
| Internet Protocols\Domino Web Engine 附签 | 将 Session Authentication 设为 Disabled。 将 Java servlet support 设为 Domino Servlet Manager。 |