- Lotus Domino Web SSO 構成文書の保管に失敗します
クライアントは、
接続している SSO Lotus Domino Server の Lotus Domino Server 文書を
検出できなければなりません。Web SSO 構成文書は、ユーザーが指定するサーバーに対して暗号化されています。
クライアントのロケーション・レコードによって示されているホーム・サーバーは、
接続しているサーバーのある Lotus Domino ドメイン内のサーバーを指している必要があります。
このポインターにより、ルックアップでサーバーの公開鍵が確実に検出されます。
接続している Lotus Domino Server を 1 つ以上検出できませんという
メッセージを受信する場合、それらのサーバーは、Web SSO
構成文書を暗号化解除できず、SSO も実行できません。
Web SSO 構成文書が保管される際、ステータス・バーは、文書にリストされたサーバー、
作成者、および管理者を検出することによって、文書の暗号化に使用された公開鍵の数を示します。
- Lotus Domino Server コンソールが Lotus Domino HTTP Server の始動時に Web SSO 構成文書のロードに失敗します
SSO の構成時に、サーバー文書は、「Session Authentication」フィールド
でマルチサーバーに対して構成されます。Lotus Domino HTTP Server は、
始動時に Web SSO 構成文書の検索とロードを試行します。
有効な文書が検出され、暗号化解除された場合、Lotus Domino Server コンソールは、
以下の情報を報告します: HTTP: Successfully loaded Web SSO Configuration
サーバーが Web SSO 構成文書をロードできない場合は、SSO は機能しません。
この場合、サーバーは、次のメッセージを報告します。HTTP: Error Loading Web SSO configuration.Reverting to single-server session authentication.
Lotus Domino ディレクトリーの「Web Configurations」ビュー
および「$WebSSOConfigs」隠しビューに、Web SSO 構成文書が 1 つしか存在しないことを確認してください。
資料を複数作成することはできませんが、複製時に追加の資料を挿入することはできます。
Web SSO 構成文書を 1 つしか検証できない場合は、別の条件を検討してください。
サーバー文書の公開鍵が ID ファイル内の公開鍵と一致しない場合は、同じエラー・メッセージが表示されます。
この場合、Web SSO 構成文書を暗号化解除しようとすると失敗し、エラー・メッセージが生成されます。
この状態は、ID ファイルが複数回作成されたものの、Server 資料が正常に更新されていない場合に発生することがあります。
通常は、公開鍵がサーバー ID と一致しないという
エラー・メッセージが Lotus Domino Server コンソール上に表示されます。
この状態が発生した場合、SSO は機能しません。これは、文書が公開鍵で暗号化されており、
サーバーはその公開鍵に対応する秘密鍵を持っていないためです。
鍵の不一致の問題を修正するには、以下のようにします。
- 公開鍵をサーバー ID ファイルからコピーし、それを Server 資料に貼
り付けます。
- Web SSO 構成文書を再度作成します。
- 保護リソースへのアクセス時に認証が失敗します
Web ユーザーに対し、
ユーザー ID とパスワードを求めるプロンプトが何度も表示される場合は、SSO が機能していません。
これは、Lotus Domino または WebSphere Application Server のセキュリティー・サーバーの
どちらかが、Lightweight Directory Access Protocol (LDAP) サーバーのユーザーを認証できないためです。
以下の点をチェックしてください。
- LDAP サーバーが Lotus Domino Server マシンからアクセス可能であることを検査します。
TCP/IP ping ユーティリティーを使用して TCP/IP 接続を検査し、
ホスト・マシンが稼働していることを確認します。
- LDAP ユーザーが LDAP ディレクトリー内で定義されていることを検査します。
idsldapsearch ユーティリティーを使用して、
ユーザー ID が存在していること、およびパスワードが正しいことを確認します。例えば、
以下のコマンドを単一の行に入力して実行できます。
OS/400 Qshell、UNIX シェル、
または Windows DOS プロンプトを使用することができます。
% ldapsearch -D "cn=John Doe, ou=Rochester, o=IBM, c=US" -w mypassword
-h myhost.mycompany.com -p 389 -b "ou=Rochester, o=IBM, c=US" (objectclass=*)
パーセント文字 (%) は、プロンプトを表しています。コマンドの一部ではありません。
ディレクトリー・エントリーのリストが表示されます。
発生する可能性があるエラー状態および原因は、以下のリストのとおりです。
- 「No such object」: このエラーは、-D オプションに続いて指定された
ユーザーの識別名 (DN) 値、または -b オプションに続いて指定された
基本 DN 値のいずれかによって参照されたディレクトリー・エントリーが
存在しないことを示します。
- 「Credentials that are not valid」: このエラーは、パスワードが有効でないことを示します。
is not valid.
- 「Cannot contact the LDAP server」: このエラーは、
サーバーに対して指定されたホスト名またはポートが有効でないか、
あるいは LDAP サーバーが稼働していないことを示します。
- 空のリストは、-b オプションで指定した基本ディレクトリーがディレクトリー・エントリーを含んでいないことを意味します。
- 識別名の代わりにユーザーのショート・ネームまたはユーザー ID を使用している場合は、
ディレクトリー・エントリーがショート・ネームで構成されていることを確認します。
Lotus Domino ディレクトリーの場合、Person 文書の「Short name/UserID」フィールドを検査します。
他の LDAP ディレクトリーの場合、ディレクトリー・エントリーのユーザー ID プロパティーを検査します。
- Lotus Domino ディレクトリー以外の LDAP ディレクトリーを
使用しているときに、Lotus Domino 認証が失敗する場合は、Directory アシスタンス・
データベース内にある Directory アシスタンス文書の LDAP サーバーの構成設定値を確認します。
また、Server 文書が、正しい Directory アシスタンス文書を参照しているかどうかについても検査します。
以下に示す、Directory Assistance 文書内で指定された LDAP 値は、WebSphere Application Server 管理可能ドメイン内のユーザー・レジストリーに対して指定された値と一致しなければなりません。
- ドメイン・ネーム
- LDAP ホスト名
- LDAP ポート
- 基本 DN
さらに、Directory アシスタンス文書で定義されたルールは、
ユーザーのディレクトリー・エントリーを含んだディレクトリーの基本識別名 (DN) を参照する必要があります。
以下の行をサーバーの notes.ini ファイルに追加することによって、LDAP サーバーに
対する Lotus Domino Server の要求をトレースすることができます。
webauth_verbose_trace=1
Lotus Domino Server を再始動した後は、Web ユーザーが Lotus Domino Server に対して
認証を試行するときに、トレース・メッセージが Lotus Domino Server のコンソールに表示されます。
- 保護リソースへのアクセス時に許可が失敗します
正常に認証された後に、許可エラー・メッセージが表示される場合は、
セキュリティーが正しく構成されていません。
以下の点をチェックしてください。
- Lotus Domino データベースの場合、ユーザーがデータベースのアクセス制御の設定で定義されていることを検査します。
ユーザーの DN を指定する正しい方法については、Lotus Domino 管理資料を参照してください。
例えば、DN cn=John Doe, ou=Rochester, o=IBM, c=US の場合、
アクセス制御リストの値は John Doe/Rochester/IBM/US に設定されていなければなりません。
- WebSphere Application Server によって保護されているリソースの場合、
セキュリティー許可が正しく設定されていることを検査します。
- 選択されたグループに許可を与えている場合は、
リソースにアクセスしようとしているユーザーがそのグループのメンバーであることを確認してください。
例えば、ディレクトリーの内容を表示する以下の Web サイトを使用して、グループのメンバーを検査できます。
Ldap://myhost.mycompany.com:389/ou=Rochester, o=IBM, c=US??sub
- 許可の設定以降に、WebSphere Application Server 管理ドメイン内で LDAP 構成情報 (ホスト、ポート、
および基本 DN) を変更した場合は、既存の許可はおそらく有効でないため、
再作成の必要があります。
- 保護リソースへのアクセス時に SSO が失敗します
Web ユーザーに対して、リソースごとに認証のプロンプトが表示される場合
は、SSO が正しく構成されていません。
以下の点をチェックしてください。
- WebSphere Application Server と Lotus Domino Server の両方が、
同じ LDAP ディレクトリーを使用するように構成します。SSO に使用される HTTP Cookie には、
ユーザーの完全 DN (cn=John Doe, ou=Rochester, o=IBM, c=US など) および
ドメイン・ネーム・サービス (DNS) ドメインが保管されます。
- Lotus Domino Directory が使用されている場合、階層名に基づいて Web ユーザーを定義します。
例えば、Person 文書の「ユーザー名」フィールドを更新して、
この形式の名前を John Doe/Rochester/IBM/US のように最初の値として組み込みます。
- SSO 用に構成された Lotus Domino Server および WebSphere Application Server に対して
発行される Web サイトには、単にホスト名や TCP/IP アドレスを指定するのではなく、完全な DNS サーバー名を指定します。
ブラウザーがサーバーのグループに Cookies を送信するためには、DNS ドメインが
Cookies に組み込まれていて、その Cookies 内の DNS ドメインが Web アドレスに一致する必要があります。
TCP/IP ドメイン間で Cookie を使用できないため、この要件があります。
- Lotus Domino と WebSphere Application Server の両方が、
同じ DNS ドメインを使用するように構成します。
DNS ドメイン値が、大文字化も含めて完全に同じであることを検査してください。
DNS ドメイン値は、WebSphere Application Server 管理コンソールの「グローバル・セキュリティー設定の構成」
パネル、および Lotus Domino Server の Web SSO 構成文書にあります。
Lotus Domino Web SSO 構成文書に変更を加える場合は、
SSO に接続しているすべての Lotus Domino Server に変更を加えた構成文書を複製してください。」
- クラスター化された Lotus Domino Server に、サーバー文書内の完全な DNS サーバー名が移植されたホスト名が
含まれていることを確認します。
Domino Internet Cluster Manager (ICM) は、完全な DNS サーバー名を使用して、SSO を使用する
クラスター・メンバーにリダイレクトします。
このフィールドが移植されていない場合、デフォルトで ICM は、サーバーのホスト名のみを
使用して、Web アドレスをクラスター化された Web サーバーにリダイレクトします。
ICM は SSO Cookie を送信できません。これは、DNS ドメインが Web アドレスに組み込まれていないためです。
この問題を訂正するには、以下のようにします。
- Server 資料を編集します。
- 「Internet Protocols」>「HTTP」タブをクリックします。
- サーバーの完全 DNS 名を「ホスト名」フィールドに入力します。
- LDAP サーバーのポート値が WebSphere Application Server 管理可能ドメイン
に対して指定される場合は、Lotus Domino Web SSO 構成文書を編集し、
円記号 (¥) を「LDAP Realm」フィールドの値のコロン記号 (:) の前に
挿入してください。例えば、myhost.mycompany.com:389 を
myhost.mycompany.com¥:389 で置き換えます。
HTTP セッションのタイマーが期限切れになると、ユーザーがログアウトされません。WebSphere Application Server の
ユーザーがアプリケーションにログオンし、指定された HTTP セッション・タイムアウト値を超えて
アイドル状態を続けた場合、ユーザー情報は無効にならず、LTPA トークンがタイムアウトになるまで
ユーザー・クレデンシャルはアクティブのままです。
PK25740 の適用後、以下のステップを実行すると、HTTP セッションが期限切れとなった後にユーザーをアプリケーションからログアウトさせることができます。
- 管理コンソールで、「セキュリティー」>「グローバル・セキュリティー」とクリックします。
- 「カスタム・プロパティー」で「新規」をクリックします。
- 「名前」フィールドに、com.ibm.ws.security.web.logoutOnHTTPSessionExpire と入力します。
- 「値」フィールドに true と入力します。
- 「適用」および「保管」をクリックして、構成の変更を保管します。
- サーバーを再同期して再始動します。