Activation de l'authentification intégrée Windows pour les clients basés sur Eclipse (IWA)

L'authentification Windows intégrée (IWA) est disponible pour les applications client fournies et tierces basées sur Eclipse, et active l'authentification SPNEGO pour les fonctions et les applications basées sur Eclipse dans un client the Notes®, par exemple, intégré à HCL Sametime®.

Remarque : IWA ne peut pas être utilisé comme mécanisme d'authentification au démarrage d'un client Notes®.

IWA est un protocole d'authentification qui permet aux utilisateurs d'effectuer une connexion unique à l'aide des données d'identification Windows de l'utilisateur connecté. SPNEGO est l'un des mécanismes IWA qui permettent au client et au serveur de négocier le protocole d'authentification à utiliser. Ces protocoles sont limités à NT Lan Manager (NTLM) et à Kerberos. La prise en charge de la gestion des sessions est fournie par les cookies HTTP.

L'administrateur Domino® peut utiliser une politique de paramètres de sécurité en vue d'indiquer la prise en charge pour IWA, ou de créer un compte de type OS-CRED et d'appliquer le compte aux utilisateurs du client, par politique.

Pour activer IWA dans la politique de sécurité :
  1. Dans l'annuaire Domino®, créez ou modifiez un document de politique de paramètres de sécurité existant (la conception NAMES.NSF 8.5.3 est requise).
  2. Dans l'onglet Gestion de mot de passe, sélectionnez Oui pour le champ Activer la connexion unique Windows pour le client Notes Standard.
Remarque : Cette option est prise en charge par l'activation de l'authentification IWA dans la politique des paramètres de sécurité uniquement dans le navigateur et la couche réseau pour des composants tels que les flux et les widgets. Par exemple, si le catalogue de widgets se trouve sur un site protégé par SPNEGO et que l'utilisateur du client accède au catalogue via le navigateur imbriqué, l'utilisateur peut s'authentifier auprès du catalogue sans avoir un compte.

La création d'un compte OS-CRED pour un utilisateur client active automatiquement IWA pour l'intégralité du client Notes®. Les comptes spécifiques aux applications, tels qu'Sametime® et HCL Connections peuvent également prendre le type OS-CRED.

IWA peut également fonctionner avec les comptes TAM-SPNEGO. Les utilisateurs ayant un type de compte TAM-SPNEGO peuvent les adapter pour utiliser la nouvelle prise en charge SPNEGO compatible avec IWA à l'aide du fichier plugin_customization.ini du client.
Remarque : Ce fichier se trouve généralement dans le sous-répertoire framework\rcp du répertoire Notes_install_dir, par exemple : 
Program Files\HCL\Notes\framework\rcp\plugin_customization.ini

Avant l'installation ou la mise à niveau de Notes®, le fichier réside dans le sous-répertoire de déploiement du kit d'installation Notes®.

Ajoutez les instructions suivantes pour indiquer que tous les comptes TAM-SPNEGO existants utilisent une authentification OS-CRED : 
com.ibm.rcp.accounts/replace.tam.spnego=true
Remarque : Il n'existe aucune politique Domino® particulière pour ce paramètre, laquelle est principalement utilisée par Sametime®. A la place du fichier plugin_customization.ini vous pouvez appliquer le paramètre à l'aide de l'onglet Paramètres personnalisés du document de politique des paramètres de bureau Domino® afin de définir un nom personnalisé sous forme de valeur/paire. Pour plus d'informations sur l'application des paramètres de préférence Eclipse à l'aide d'une politique, reportez-vous aux rubriques connexes.
La fonction OS-CRED SPNEGO n'est pas automatiquement activée. Pour l'activer, créez un compte de type OS-CRED à l'aide des méthodes d'interface utilisateur des préférences administrateur ou client Domino® ou définissez une préférence de plateforme en ajoutant l'instruction suivante au fichier plugin_customization.ini du client : 
com.ibm.rcp.net.http/enable.spnego=true
Cette fonction est disponible pour l'application de barre d'options latérale Activités. Comme pour la configuration des Comptes, la configuration des Connexions fournit des 'Informations du système d'exploitation' comme type d'authentification lors de la configuration des préférences client. Elle est également prise en charge lorsque la configuration des Connexions est fournie dans le fichier plugin_customization.ini du client comme suit : 
com.ibm.lconn.client.base/server=Connections_server_name
com.ibm.lconn.client.base/authtype=OS-CRED
Si des problèmes surviennent au cours de l'authentification SPNEGO, vous pouvez activer les paramètres suivants pour la consignation de niveau Eclipse dans le fichier rcpinstall.properties. Cela fournit la sortie de journal à partir de la machine virtuelle Java et de Notes® vers le fichier journal utilisé par votre système client ; par défaut, il s'agit du fichier C:\Program Files\HCL\Notes\Data\workspace\logs. 
com.ibm.rcp.accounts.level=FINEST
com.ibm.rcp.net.http.level=FINEST
com.ibm.rcp.security.spnego.level=FINEST

Tenez compte des considérations et limites suivantes lorsque vous utilisez l'authentification Windows intégrée (IWA) avec les clients Eclipse :

  • IWA est disponible uniquement sur les plateformes Windows prises en charge.
  • IWA est disponible uniquement pour Notes® 8.5.3 et versions ultérieures.
  • La fonction client a été testée par rapport à un ensemble de configurations de serveur limité défini, comme suit :

    L'utilisateur du client doit se connecter à Windows en tant qu'utilisateur de domaine pour bénéficier de cette prise en charge. L'authentification effectuée lors de la connexion à Windows provoque la génération du TGT (ticket-granting ticket) requis. Sans le TGT, la prise en charge de SPNEGO pour la machine virtuelle Java n'est pas possible.

  • L'authentification inter-domaine et inter-forêts est prise en charge uniquement via l'utilisation du fichier krb5.ini présent sur le système. Si un fichier krb5.ini est présent dans le répertoire C:\Windows, les valeurs de ce fichier seront utilisées par-dessus les propriétés système par défaut.
  • Sous Windows 7 et Windows Vista, SPNEGO n'est pas fonctionnel pour les utilisateurs membres du groupe Administrateurs lorsque UAC est activé. Pour utiliser SPNEGO sur ces plateformes, conseillez à l'utilisateur du client de lancer Notes® avec des privilèges accrus, de désactiver UAC ou de se connecter en tant que non administrateur.