为基于 Eclipse 的客户机启用集成 Windows 认证 (IWA)

集成 Windows 认证 (IWA) 适用于提供的客户机应用程序和第三方基于 Eclipse 的客户机应用程序,支持将 SPNEGO 认证用于 the Notes® 客户机中基于 Eclipse 的功能部件和应用程序,例如嵌入式 HCL Sametime®

注: IWA 无法用作 Notes® 客户机启动时的认证机制。

IWA 是一种认证协议,允许用户使用当前已登录用户的 Windows 凭证实现单点登录。SPNEGO 是一种 IWA 机制,它允许客户机和服务器协商要使用的认证协议。这些协议限于 NT Lan Manager (NTLM) 和 Kerberos。会话管理通过 HTTP cookie 提供支持。

Domino® 管理员可以使用安全性设置策略来指定 IWA 支持,或者创建类型为 OS-CRED 的帐户并按策略将该帐户应用于客户机用户。

要在安全策略中启用 IWA,请执行以下操作:
  1. Domino® 目录中,创建或编辑现有“安全性设置策略”文档(需要 8.5.3 NAMES.NSF 设计)。
  2. 密码管理选项卡的为标准 Notes 客户机启用 Windows 单点登录字段中,选择“是”。
注: 安全性设置策略中启用的 IWA 认证仅在组件(例如,订阅源和窗口小部件)的浏览器和网络层中受支持。例如,如果窗口小部件目录位于 SPNEGO 保护的站点上,并且客户机用户通过嵌入式浏览器访问该目录,那么用户将向目录进行认证且无需帐户。

为客户机用户创建 OS-CRED 帐户将自动为整个 Notes® 客户机启用 IWA。特定于应用程序的帐户(例如,HCL Sametime® 和 HCL Connections)也可更改为 OS-CRED 类型。

IWA 还可用于 TAM-SPNEGO 帐户。TAM-SPNEGO 帐户类型的用户可以切换其帐户以通过客户机的 plugin_customization.ini 文件使用兼容 IWA 的新 SPNEGO 支持。
注: 此文件通常位于 Notes_install_dirframework\rcp 子目录中,例如: 
Program Files\HCL\Notes\framework\rcp\plugin_customization.ini

Notes® 安装或升级前,此文件位于 Notes® 安装套件的部署子目录中。

添加以下语句可指定所有现有 TAM-SPNEGO 帐户改为使用 OS-CRED 认证: 
com.ibm.rcp.accounts/replace.tam.spnego=true
注: 没有用于此设置的特定 Domino® 策略,它主要由 Sametime® 使用。或者不使用 plugin_customization.ini 文件,可以改为通过使用 Domino® 桌面策略设置文档中的“定制设置”选项卡来定制名称值/对,从而应用此设置。有关使用策略应用 Eclipse 首选项设置的详细信息,请参阅相关主题。
OS-CRED SPNEGO 不会自动启用。要启用 OS-CRED SPNEGO,请使用现有 Domino® Administrator 或客户机首选项用户界面方法来创建类型为 OS-CRED 的新帐户,或者通过将以下语句添加到客户机的 plugin_customization.ini 文件来设置平台首选项: 
com.ibm.rcp.net.http/enable.spnego=true
此功能可用于嵌入式“活动”侧边栏应用程序。与“帐户”配置类似,现在配置客户机首选项时,“连接”配置中也提供了“操作系统凭证”作为认证类型。这在客户机的 plugin_customization.ini 文件中提供“连接”配置时也同样受支持,如下所示: 
com.ibm.lconn.client.base/server=Connections_server_name
com.ibm.lconn.client.base/authtype=OS-CRED
如果在 SPNEGO 认证期间遇到问题,那么可以在 rcpinstall.properties 文件中为 Eclipse 级别的日志记录启用以下设置。这会将 JVM 和 Notes® 中的日志输出提供给客户机系统当前使用的任何日志文件;但是,缺省情况下会提供给 C:\Program Files\HCL\Notes\Data\workspace\logs
com.ibm.rcp.accounts.level=FINEST
com.ibm.rcp.net.http.level=FINEST
com.ibm.rcp.security.spnego.level=FINEST

将集成 Windows 认证 (IWA) 用于基于 Eclipse 的客户机时,有多个注意事项和限制需谨记:

  • IWA 仅在受支持的 Windows 平台上可用。
  • IWA 仅适用于 Notes® 8.5.3 及更高版本。
  • 客户机功能已根据一组有限的已定义服务器配置进行了测试,如下所示:

    客户机用户必须作为域用户登录到 Windows 才能享受此支持。登录到 Windows 时执行的认证会导致生成必需的 TGT(授予凭单的凭单)。如果没有生成 TGT,JVM SPNEGO 支持将无效。

  • 跨域和跨林认证仅通过使用系统上的 krb5.ini 文件支持。如果 krb5.ini 位于 C:\Windows 目录中,那么将通过缺省系统属性使用此文件中的值。
  • Windows 7 和 Windows Vista 上,当启用 UAC 时,SPNEGO 对于属于管理员组的成员不起作用。要在这些平台上使用 SPNEGO,建议客户机用户使用提升的特权来启动 Notes® 并禁用 UAC,或者以非管理用户身份登录。