产品:Lotus Domino
平台:AIX, i5/OS, Linux, Solaris, Windows
软件版本:7.0, 6.5, 6.0, 5.0
摘要:
这篇文档包含了有关在 Lotus Domino 服务器上启用基于会话的认证时所产生的 Cookie 信息。
内容:
基于会话的认证选项有几种?
您可以为一台或多台服务器启用基于会话的认证,而不是基本的用户名和密码的认证。对于一台服务器启用此功能通常被称为基于会话的认证。你需要把会话认证域设置为“单一服务器”以实现这一功能。
对于多台服务器,基于对话的认证通常被称为单点登录。Domino 5.0.5 引入了这一功能。你需要把会话认证域设置为“多台服务器”并创建一个 Web SSO 配置文档以实现这一功能。
实现会话认证后会有如下优势:
- · 你可以避免导致用户被不断重复提示输入用户名及密码的这类问题。
· 你可以通过控制台命令跟踪用户会话。
· 用户可以通过在 URL 后添加 "?logout" 以退出会话,而不必退出浏览器以结束一段会话。
· 你可以自定义登录页面。
· 用户可以先登录到一台 Domino 或者 WebSphere 服务器,再访问同一个 DNS 域中其他启用 SSO 的 Domino 或者 WebSphere 服务器时无需再次登录。
创建的cookie是怎样的
当网络浏览器用户进行了认证(通过提供用户名和密码)后,服务器便会将一个 cookie 颁发给该浏览器。对于在单个服务器上基于会话的认证,会话 ID 将被写入 cookie文件中。 该 Cookie 名为 DomAuthSessID。默认情况下,cookie 会在闲置三十分钟后过期。你也可以在服务器文档内的“Idle session timeout”域指定这个设置。
启用 SSO 后,服务器将生成一个认证令牌,此令牌将被以 cookie 的形式发送到浏览器。对于 SSO,该 cookie 名为 LtpaToken。你可以通过在 Web SSO 文件中设置 Token Expiration 域的值来修改有效期,在某些版本中相应的域名为 Idle Session Timeout。用于单点登录的 cookie 存储了用户的完整名,例如:
cn=john smith,ou=sales, o=ibm, c=us
对于启用 SSO 的服务器,在输入 URL 时必须指定全限定主机名,而不仅是主机名或 IP 地址。为了能够让浏览器将 cookie 信息发给一组服务器,cookie 中必须包含 DNS 域信息。
关于用户和 cookies 的跟踪信息
Domino 服务器控制台命令 "Tell HTTP Show Users" 可以用来追踪和显示用户的会话信息。
Web 浏览器用户可以在 URL 栏中输入以下网址命令,观察当前内存中的 cookie 信息。
JavaScript: alert(document.cookie)
在排除故障时浏览浏览器中现有的 cookie 很有帮助,你可以检查 cookie 的名称是否正确。
更多信息
你可以在Domino Administrator 帮助文档中标题为 "设置基于会话的名称和口令认证"的文档里找到更多关于会话认证的信息,以及到相关配置步骤的链接。