Domino®에 대한 Windows 서비스 설정

웹 클라이언트용 Windows 싱글 사인온에 참가하도록 Domino® 서버를 사용 가능으로 설정하려면, Active Directory 관리자가 Active Directory setspn 유틸리티를 사용하여 서버에 대한 하나 이상의 SPN(Service Principal Name)을 Active Directory 계정으로 지정해야 합니다. SPN은 웹 클라이언트가 Domino® 서버에 연결하는 데 사용하는 서버 URL의 DNS 이름(예: www.renovations.com)과 일치합니다.

이 태스크 정보

SPN은 Active Directory 도메인의 Domino® 서버 ID에서 필수 부분이며, 형식은 다음과 같습니다.

HTTP/<DNS_name>@<Active_Directory_Kerberos_realm>

예를 들어, 다음과 같습니다.

HTTP/www.renovations.com@AD.EAST.RENOVATIONS.COM

SPN을 지정할 때, Domino®에 Kerberos 서비스 티켓을 발행할 수 있음을 Windows Kerberos KDC(Key Distribution Center)에 알립니다. 그런 다음, 웹 사용자 대신 웹 브라우저 클라이언트는 웹 사용자를 인증하는 데 사용되는 Domino®로 Kerberos 서비스 티켓을 보낼 수 있습니다.

Domino® 서버에 연결하는 데 사용되는 URL에 있는 각 DNS 이름에 대해 SPN을 지정해야 합니다. 다음 단계는 Windows 싱글 사인온 환경에서 웹 사용자 인증 프로세스 중에 SPN이 사용되는 방법을 보여줍니다.

프로시저

  1. 웹 사용자는 브라우저에 URL을 입력하여 Windows 싱글 사인온에 참가하는 Domino® 서버에 연결합니다.

    예를 들어 사용자는 다음 URL을 입력할 수 있습니다. 

    http://www.renovations.com/names.nsf
  2. 웹 브라우저는 URL에 포함된 DNS 이름을 추출하여 SPN을 구성합니다.

    예를 들어 이 브라우저는 다음과 같은 SPN을 구성합니다.

    HTTP/www.renovations.com@AD.EAST.RENOVATIONS.COM

    DNS 이름: www.renovations.com

    Domino® 서버 시스템이 속한 Active Directory 도메인: AD.EAST.RENOVATIONS.COM

  3. 웹 브라우저는 Active Directory에서 SPN에 대한 서비스 티켓을 요청합니다.
  4. 웹 브라우저는 서비스 티켓을 수신한 후 Domino® 서버로 보냅니다.
  5. Domino® 서버는 서비스 티켓을 승인하고 사용자를 인증합니다.

Domino® 서버용 Windows 서비스를 설정하는 단계

프로시저

  1. SPN을 할당할 Active Directory 계정을 결정합니다.
  2. 옵션: SPN을 해당 계정에 할당합니다. 필요한 경우 Domino®에 제공된 domspnego.cmd 유틸리티를 사용하여 이 단계 수행에 도움을 받을 수 있습니다.
  3. Domino® 서버 Windows 서비스가 계정으로 로그온되었는지 확인합니다.