Domino 单点登录(SSO)用户名映射功能

Technote (troubleshooting)

问题

当使用 Domino 单点登录（Lotus Domino 6 服务器环境也被称为多个服务器基于会话的验证）时，在复杂配置中你可能会遇到关于用户名的问题。

LTPA 令牌包含已认证的用户名称。当 Domino 创建一个 LTPA 令牌时，它一般在令牌中给用户设置 Domino 专有名称(Distinguished Name)。当参与 SSO 的其他服务器接收令牌时，如果接收服务器不能识别令牌的 Domino 名称（在这个情况中，令牌被忽略，用户被提示重新登录）。这个问题一般只发生在使用混合目录（Domino 和 LDAP）的环境。

SSO 和 LTPA 令牌的使用不限定在 Domino Web 服务器中，事实上，还有几个 IBM 产品也都使用 SSO 令牌。

解决问题

Domino 7（和之后的版本）引进一个新的功能，在 Domino 中创建 LTPA 令牌时，允许管理员设置哪个名称可以出现在 LTPA 标识中。在设置 LTPA 用户名称时，要将Domino 目录用户和 LDAP 用户区别开来。设置所需的域和说明在本文中已列出。

SSO 和 LTPA 令牌的使用不限定在 Domino Web 服务器中，事实上，还有一些 IBM 产品也使用 SSO 令牌。对于纯 Domino 环境，没有必要设置 LTPA 用户名称的别名。只是对于其他 IBM 产品，用户不通过 Domino 目录时，才必须设置 LTPA 用户名称的别名。

通过启用这个功能，你可以跳过目录服务（Directory Assistance）的配置。用户可以使用他们的 Domino 用户名和密码登录到 Domino 服务器。Domino 服务器生成 LTPA 令牌，其中包含 LTPA 用户名（LTPA_UsrNm）。这个条目允许用户切换到其他的 IBM 产品，例如 WebSphere 应用服务器，WebSphere Portal，或者 Tivoli Access Manager，而不需要再次提示登录。同样，用户可以用他们的 LDAP 通过 WebSphere 应用服务器认证，然后跳转到Domino。Domino 7 的 SSO 用户名映射，就像在个人文档User Name域的最后一个条目输入了LDPA用户姓名一样。

Domino 目录用户的设置说明
1. 创建 SSO 配置文档时，设置“映射以下 LTPA 标志中的名称:”为启用。
2. 在个人文档的管理选项卡上输入所需的LTPA用户名。这个值必须是唯一的，如果不是，可能会导致认证和授权失败。一般来说，这个名称是一个LDAP值，格式如下：
uid=jdoe/cn=sales/dc=acme/dc=com

LDAP 目录服务用户的设置说明
1. 创建 SSO 配置文档时，设置“映射以下 LTPA 标志中的名称”为启用。
2. 为 LDAP 服务器设置目录服务。
3. 在 LDAP 目录服务文档上的“基本”选项卡上设置“Attribute to be used as name in SSO token”（SSO令牌中的姓名属性）。这个值应该是来自 SSO 令牌的，用户的 LDAP 条目的属性。

其他信息：
“映射以下 LTPA 标志中的名称”字段帮助描述如下：
如果 SSO 标志可能包含用户的 Domino 专有名称以外的名称，则启用此选项。对于用户位于多个目录中的 SSO 部署，如果用户名的格式/内容因目录而异（例如，WebSphere 与 Domino 不共同用一个目录时），则可能需要此设置。如果启用此选项，则用户个人记录指定域中应有的名称，是应放入 Domino 为此用户创建的任何 SSO 标志中的名称。在缺省情况下，要参考指定 SSO 目录属性是属性“LTPA_UsrNm: 在用户的目录个人记录中。要指定哪个目录属性映射 SSO 标志的用户名，请参阅目录服务器配置。”

从 Domino 6 版本开始，引入 Notes 专有名称（DN）映射功能，SSO 用户名映射功能与 Notes 专有名称（DN）映射有些共同点。然而，SSO 用户名映射是一个新的功能，可以独立于 Notes 专有名称（DN）映射功能来使用。更多关于 Notes 专有名称映射的信息，请查看 Domino Administrator 帮助数据库的“在远程 LDAP 目录中使用 Notes 专有名称”主题。

以下是Notes 专有名称（DN）映射和 LTPA 用户名映射可能的组合和预计的结果：

Notes DN 映射被设置，但 LTPA_UsrNm 映射没有被设置。产生的令牌应该包含 Notes DNNotes DN 映射被设置，LTPA_UsrNm 映射也被设置。产生的令牌应该包含LTPA_UsrNm 映射的值Notes DN 映射没被设置，但 LTPA_UsrNm 映射被设置。产生的令牌应该包含LTPA_UsrNm映射的值Notes DN 映射没被设置， LTPA_UsrNm 映射也没有被设置。产生的令牌应该包含 LDAP DN
注意：Notes DN 映射可以在 LTPA 没有启动的情况下使用，然而 LTPA_UsrNm 映射只能在SSO 中使用。   

关于这个问题的更多信息可从     Domino Administrator 帮助中的“    配置在 SSO LTPA 令牌中的用户名映射”主题。