Activation de l'authentification intégrée Windows™ pour les clients basés sur Eclipse (IWA)
L'authentification Windows™ intégrée (IWA) est disponible pour les applications client fournies et tierces basées sur Eclipse, et active l'authentification SPNEGO pour les fonctions et les applications basées sur Eclipse dans un client the Notes®, par exemple, intégré à HCL Sametime®.
IWA est un protocole d'authentification qui permet aux utilisateurs d'effectuer une connexion unique à l'aide des données d'identification Windows™ de l'utilisateur connecté. SPNEGO est l'un des mécanismes IWA qui permettent au client et au serveur de négocier le protocole d'authentification à utiliser. Ces protocoles sont limités à NT Lan Manager (NTLM) et à Kerberos. La prise en charge de la gestion des sessions est fournie par les cookies HTTP.
L'administrateur Domino® peut utiliser une politique de paramètres de sécurité en vue d'indiquer la prise en charge pour IWA, ou de créer un compte de type OS-CRED et d'appliquer le compte aux utilisateurs du client, par politique.
- Dans l'annuaire Domino®, créez ou modifiez un document de politique de paramètres de sécurité existant (la conception NAMES.NSF 8.5.3 est requise).
- Dans l'onglet Gestion de mot de passe, sélectionnez Oui pour le champ Activer la connexion unique Windows pour le client Notes Standard.
La création d'un compte OS-CRED pour un utilisateur client active automatiquement IWA pour l'intégralité du client Notes®. Les comptes spécifiques aux applications, tels qu'Sametime® et HCL Connections peuvent également prendre le type OS-CRED.
Program Files\HCL\Notes\framework\rcp\plugin_customization.ini
Avant l'installation ou la mise à niveau de Notes®, le fichier réside dans le sous-répertoire de déploiement du kit d'installation Notes®.
com.ibm.rcp.accounts/replace.tam.spnego=true
com.ibm.rcp.net.http/enable.spnego=true
com.ibm.lconn.client.base/server=Connections_server_name
com.ibm.lconn.client.base/authtype=OS-CRED
com.ibm.rcp.accounts.level=FINEST
com.ibm.rcp.net.http.level=FINEST
com.ibm.rcp.security.spnego.level=FINEST
Tenez compte des considérations et limites suivantes lorsque vous utilisez l'authentification Windows™ intégrée (IWA) avec les clients Eclipse :
- IWA est disponible uniquement sur les plateformes Windows™ prises en charge.
- IWA est disponible uniquement pour Notes® 8.5.3 et versions ultérieures.
- La fonction client a été testée par rapport à un ensemble de configurations de serveur limité défini, comme suit :
L'utilisateur du client doit se connecter à Windows™ en tant qu'utilisateur de domaine pour bénéficier de cette prise en charge. L'authentification effectuée lors de la connexion à Windows™ provoque la génération du TGT (ticket-granting ticket) requis. Sans le TGT, la prise en charge de SPNEGO pour la machine virtuelle Java n'est pas possible.
- L'authentification inter-domaine et inter-forêts est prise en charge uniquement via l'utilisation du fichier krb5.ini présent sur le système. Si un fichier krb5.ini est présent dans le répertoire C:\Windows, les valeurs de ce fichier seront utilisées par-dessus les propriétés système par défaut.
- Sous Windows™ 7 et Windows™ Vista, SPNEGO n'est pas fonctionnel pour les utilisateurs membres du groupe Administrateurs lorsque UAC est activé. Pour utiliser SPNEGO sur ces plateformes, conseillez à l'utilisateur du client de lancer Notes® avec des privilèges accrus, de désactiver UAC ou de se connecter en tant que non administrateur.