Domino® 设置 Windows 服务

要允许 Domino® 服务器参与 Web 客户机的 Windows 单点登录,Active Directory 管理员必须使用 Active Directory setspn 实用程序为 Active Directory 帐户分配服务器的至少一个服务主体名称 (SPN)。SPN 对应于 Web 客户机用于连接到 Domino® 服务器的服务器 URL 中的 DNS 名称(例如 www.renovations.com)。

关于此任务

SPN 是 Active Directory 域中的 Domino® 服务器身份的必需部分,格式如下:

HTTP/<DNS_name>@<Active_Directory_Kerberos_realm>

例如:

HTTP/www.renovations.com@AD.EAST.RENOVATIONS.COM

分配 SPN 时,相当于通知 Windows Kerberos 密钥分发中心 (KDC) 可以将 Kerberos 服务凭单发布到 Domino®。然后,Web 浏览器客户机可以代表 Web 用户向 Domino® 发送 Kerberos 服务凭单,用于认证 Web 用户。

必须为用于连接到 Domino® 服务器的 URL 中的每个 DNS 名称分配 SPN。以下步骤演示了如何在 Windows 单点登录环境中认证 Web 用户的过程中使用 SPN:

过程

  1. Web 用户在浏览器中输入 URL,以连接到参与 Windows 单点登录的 Domino® 服务器。

    例如,输入以下 URL: 

    http://www.renovations.com/names.nsf
  2. Web 浏览器提取包含在 URL 中的 DNS 名,然后根据它创建一个 SPN。

    例如,浏览器会创建以下 SPN:

    HTTP/www.renovations.com@AD.EAST.RENOVATIONS.COM

    DNS 的名称为 www.renovations.com

    Domino® 服务器计算机所属的 Active Directory 域为 AD.EAST.RENOVATIONS.COM

  3. Web 浏览器向 Active Directory 请求 SPN 的服务凭单。
  4. Web 浏览器收到服务凭单,然后将其发送到 Domino® 服务器。
  5. Domino® 服务器接受服务凭单,并认证用户。

Domino® 服务器设置 Windows 服务的步骤

过程

  1. 确定 SPN 所分配到的 Active Directory 帐户。
  2. 可选: 将 SPN 分配到账户,(可选)使用 Domino® 提供的 domspnego.cmd 实用程序来帮助完成此步骤。
  3. 验证 Domino® 服务器 Windows 服务是否使用相应帐户进行登录。