Exemples de choix de comptes et de noms principaux de service

Cette rubrique propose des exemples d'utilisation de l'utilitaire setspn afin d'affecter des noms principaux de service dans Active Directory.

L'utilisation d'un compte Windows nommé est une pratique d'excellence lorsque vous affectez des noms principaux de service, mais certains cas de figure n'exigent pas l'utilisation d'un compte Windows. Les exemples ci-dessous illustrent l'utilisation de la commande setspn et présentent les choix viables pour l'utilisation du compte.

Site Web géré par plusieurs serveurs Domino® à l'aide d'un répartiteur de charge

Si votre environnement de connexion unique est un site Web doté d'un répartiteur de charge qui distribue les demandes de connexion vers plusieurs serveurs Domino®, vous devez définir des noms principaux de service dans un compte nommé sous Active Directory. Tous les serveurs Domino® se connectent à ce même compte en tant que service Windows et non à des comptes Système local individuels. Par exemple, supposez qu'un document Site Web soit configuré de la façon suivante :

  • Noms d'hôtes ou adresses mappés vers ce site = repartiteurdecharge.audimatique.com, domino1.ad.audimatique.com, domino2.ad.audimatique.com.
  • Serveurs Domino qui hébergent ce site = Domino1/Renovations, Domino2/Renovations

Vous exécutez setspn à trois reprises sur un compte nommé (dans cet exemple, ssorenovations) pour définir trois noms principaux de service pour le compte :

setspn -a HTTP/repartiteurdecharge.audimatique.com ssorenovations
setspn -a HTTP/domino1.ad.audimatique.com ssorenovations
setspn -a HTTP/domino2.ad.audimatique.com ssorenovations

Les utilisateurs Web connectés au domaine Active Directory ne sont pas invités à saisir de mot de passe pour accéder à Domino1/Renovations ou Domino2/Renovations par le biais d'adresses URL HTTP ou HTTPS contenant l'un des noms DNS suivants :

repartiteurdecharge.audimatique.com
domino1.ad.audimatique.com
domino2.ad.audimatique.com

Site Web géré par un seul serveur Domino®

Si vous disposez d'un site Web géré par un seul serveur Domino®, vous pouvez définir des noms principaux de service soit dans un compte nommé, soit dans un compte Système local. Par exemple, supposez qu'un document Site Web soit configuré de la façon suivante :

  • Noms d'hôtes ou adresses mappés vers ce site = www.sso1.audimatique.com, www.sso2.audimatique.com
  • Serveurs Domino qui hébergent ce site = Domino1/Renovations

Vous exécutez setspn à deux reprises sur le compte (dans cet exemple, le compte Système local, domino1) de la façon suivante :

setspn -a HTTP/www.sso1.audimatique.com domino1
setspn -a HTTP/www.sso2.audimatique.com domino1

Les utilisateurs Web connectés au domaine Active Directory ne sont pas invités à saisir de mot de passe pour accéder au serveur Domino1/Renovations par le biais d'adresses URL de type HTTP ou HTTPS contenant www.sso1.audimatique.com ou www.sso2.audimatique.com.

Site Web géré par plusieurs serveurs Domino® ne partageant pas de noms DNS dans les adresses URL

Si vous disposez d'un site Web géré par plusieurs serveurs Domino® qui ne partagent pas de noms DNS dans les adresses URL, vous pouvez définir :

  • des noms principaux de service pour tous les serveurs dans un seul compte nommé ;
  • des noms principaux de service pour chaque serveur dans des comptes nommés distincts ;
  • des noms principaux de service pour chaque serveur dans chaque compte Système local.

Par exemple, supposez qu'un document Site Web soit configuré de la façon suivante :

  • Noms d'hôtes ou adresses mappés vers ce site = domino1.ad.audimatique.com, domino2.ad.audimatique.com
  • Serveurs Domino qui hébergent ce site = Domino1/Renovations, Domino2/Renovations

Uniquement les adresses URL des services Domino1/Renovations contenant domino1.ad.audimatique.com et des services Domino2/Renovations contenant domino2.ad.audimatique.com. Afin de définir un nom principal de service pour chaque compte Système local (domino1, domino2), exécutez setspn une fois sur chaque compte comme suit : 

setspn -a HTTP/domino1.ad.audimatique.com domino1
setspn -a HTTP/domino2.ad.audimatique.com domino2

Les utilisateurs Web connectés au domaine Active Directory ne sont pas invités à saisir de mot de passe pour accéder au serveur Domino1/Renovations par le biais d'adresses URL qui contiennent domino1.ad.audimatique.com ou pour accéder au serveur Domino2/Renovations par l'intermédiaire de domino2.ad.audimatique.com.

Configuration de la connexion unique utilisant des documents Serveur

Si la configuration de votre connexion unique utilise des documents Serveur plutôt que des documents Site Web, vous pouvez utiliser :

  • un compte nommé unique pour tous les serveurs ;
  • plusieurs comptes nommés, par exemple, classés par cluster de serveurs, si aucun répartiteur de charge n'est utilisé ;
  • des comptes Système local (par exemple, domino1, domino2 ou domino3), si aucun répartiteur de charge n'est utilisé.

Par exemple, supposez que chaque serveur soit configuré pour l'authentification de session multi-serveur et que le document Configuration Web SSO spécifié répertorie les serveurs suivants dans le champ Serveurs participants :

  • Domino1/Renovations
  • Domino2/Renovations
  • Domino3/Renovations

Supposez également que les noms d'hôte correspondants soient :

  • domino1.ad.audimatique.com
  • domino2.ad.audimatique.com
  • domino3.ad.audimatique.com

Pour utiliser les comptes Système local, exécutez setspn une seule fois sur chaque compte, de la façon suivante :

setspn -a HTTP/domino1.ad.audimatique.com domino1
setspn -a HTTP/domino2.ad.audimatique.com domino2
setspn -a HTTP/domino3.ad.audimatique.com domino3

Les clients Web ne sont pas invités à saisir de mot de passe pour accéder aux adresses URL de type HTTP ou HTTPS qui contiennent domino1.ad.audimatique.com lorsque domino1 est connecté par le biais du compte Système local. Les adresses URL qui contiennent domino2.ad.renovations ou domino3.ad.renovations fonctionnent de la même façon.