對 Eclipse 型用戶端啟用整合式 Windows 鑑別 (IWA)

整合式 Windows 鑑別 (IWA) 可用於所提供及第三方 Eclipse 型用戶端應用程式,以在 the Notes® 用戶端(例如,內嵌的 HCL Sametime®)內,對 Eclipse 型功能及應用程式啟用 SPNEGO 鑑別。

註: IWA 無法作為在 Notes® 用戶端啟動時進行鑑別的機制。

IWA 是一種鑑別通訊協定,可讓使用者使用目前登入使用者的 Windows 認證,達到單一登入。SPNEGO 則是一種 IWA 的機制,可讓用戶端和伺服器協議要使用的鑑別通訊協定。這些通訊協定限制為「NT LAN 管理程式 (NTLM)」及 Kerberos。HTTP Cookie 會提供階段作業管理的支援。

Domino® 管理員可以使用安全設定原則來指定 IWA 支援,或者建立類型為 OS-CRED 的帳戶,並依原則將帳戶套用至用戶端使用者。

若要在安全原則中啟用 IWA,請執行下列動作:
  1. 在「Domino® 名錄」中,建立或編輯現有的「安全設定」原則文件(需要 8.5.3 NAMES.NSF 設計)。
  2. 「密碼管理」標籤上,在「對標準 Notes 用戶端啟用 Windows 單一登入」欄位中選取「是」。
註: 針對「訊息饋送」及「小組件」這類元件,在安全設定原則中啟用 IWA 鑑別僅支援在瀏覽器及網路層中進行。例如,如果小組件型錄是在受 SPNEGO 保護的網站上,而用戶端使用者透過內嵌瀏覽器存取型錄,則使用者不需要帳戶即可鑑別型錄。

對用戶端使用者建立 OS-CRED 帳戶會自動對整個 Notes® 用戶端啟用 IWA。HCL Sametime® 及 HCL Connections 這類應用程式特定帳戶,也可以變更為類型 OS-CRED。

IWA 也可以使用 TAM-SPNEGO 帳戶。TAM-SPNEGO 帳戶類型使用者可以使用用戶端的 plugin_customization.ini 檔案,切換其帳戶以使用新的 IWA 相容 SPNEGO 支援。
註: 這個檔案通常是在 Notes_install_dirframework\rcp 子目錄中,例如: 
Program Files\HCL\Notes\framework\rcp\plugin_customization.ini

Notes® 安裝或升級之前,檔案是在 Notes® 安裝套件的部署子目錄中。

新增下列陳述式,以指定所有現有 TAM-SPNEGO 帳戶改用 OS-CRED 鑑別: 
com.ibm.rcp.accounts/replace.tam.spnego=true
註: 沒有用於這個設定的特定 Domino® 原則,此設定主要由 Sametime® 使用。作為 plugin_customization.ini 檔案的替代方案,您可以使用「Domino® 桌面原則設定」文件上的「自訂設定」標籤,以定義自訂名稱值/對組來套用設定。如需使用原則套用 Eclipse 喜好設定的詳細資料,請參閱相關主題。
OS-CRED SPNEGO 未自動啟用。若要啟用它,請使用現有 Domino® 管理員或用戶端喜好設定使用者介面方法,來建立類型為 OS-CRED 的新帳戶,或者將下列陳述式新增至用戶端的 plugin_customization.ini 檔案,以設定平台喜好設定: 
com.ibm.rcp.net.http/enable.spnego=true
這個功能可用於內嵌的「活動」側邊工具列應用程式。類似於「帳戶」配置,「連線配置」現在於配置用戶端喜好設定時,會提供「OS 認證」作為鑑別類型。在用戶端的 plugin_customization.ini 檔案中提供「連線配置」時,也支援該項目,如下所示: 
com.ibm.lconn.client.base/server=Connections_server_name
com.ibm.lconn.client.base/authtype=OS-CRED
如果在 SPNEGO 鑑別期間發現問題,您可以啟用下面的設定,以在 rcpinstall.properties 檔案中進行 Eclipse 層次記載。這樣可從 JVM 及 Notes® 中,提供日誌輸出給用戶端系統目前使用的任何日誌檔;依預設,這是 C:\Program Files\HCL\Notes\Data\workspace\logs
com.ibm.rcp.accounts.level=FINEST
com.ibm.rcp.net.http.level=FINEST
com.ibm.rcp.security.spnego.level=FINEST

對 Eclipse 型用戶端使用整合式 Windows 鑑別 (IWA) 時,有數個要牢記的考量與限制:

  • 只有支援的 Windows 平台上可使用 IWA。
  • IWA 只適用於 Notes® 8.5.3 以及更新版本。
  • 已對受限、已定義的一組伺服器配置測試用戶端功能,如下所示:

    用戶端使用者必須登入 Windows 作為網域使用者,才能充分運用此支援。登入 Windows 時進行的鑑別,會導致產生所需的 TGT(授與通行證的通行證)。如果沒有 TGT,JVM SPNEGO 支援無法運作。

  • 只有使用系統上出現的 krb5.ini 檔案時,才支援跨領域及跨樹系鑑別。如果 krb5.iniC:\Windows 名錄中,這個檔案中的值其使用優先順序高於預設系統內容。
  • Windows 7 及 Windows Vista 上,如果已啟用 UAC,則作為 管理員 群組成員的使用者無法使用 SPNEGO。若要在這些平台上使用 SPNEGO,請建議用戶端使用者以提高的使用權限來啟動 Notes®,停用 UAC,或以非管理使用者身分登入。