Eclipse 기반 클라이언트용 Windows 통합 인증(IWA) 사용

제공된 타사 Eclipse 기반 클라이언트 애플리케이션에 Windows 통합 인증(IWA)을 사용할 수 있으므로 the Notes® 클라이언트에 Eclipse 기반 기능 및 애플리케이션(예: 포함된 HCLSametime®)에 대한 SPNEGO 인증을 사용으로 설정할 수 있습니다.

주: IWA는 Notes® 클라이언트 시작 시 인증 메커니즘으로 사용할 수 없습니다.

IWA는 사용자가 현재 로그인된 사용자의 Windows 신임 정보를 사용하여 싱글 사인온을 할 수 있도록 해주는 인증 프로토콜입니다. SPNEGO는 클라이언트와 서버가 어떤 인증 프로토콜을 사용할지 절충할 수 있게 하는 하나의 IWA 메커니즘입니다. 이 프로토콜은 NTLM(NT Lan Manager) 및 Kerberos로 제한됩니다. HTTP 쿠키에서 세션 관리 지원을 제공합니다.

Domino® 관리자는 보안 설정 정책을 사용하여 IWA 지원을 지정하거나 OS-CRED 유형의 계정을 작성하고 정책에 의해 계정을 클라이언트 사용자에게 적용할 수 있습니다.

보안 정책에서 IWA를 사용 가능으로 설정하려면
  1. Domino® 디렉토리에서 기존 보안 설정 정책 문서를 작성하거나 편집합니다(8.5.3 NAMES.NSF 디자인 필수).
  2. 비밀번호 관리 탭에서 표준 Notes 클라이언트에 Windows SSO 사용 필드에 대해 예를 선택합니다.
주: 피드 및 위젯 같은 컴포넌트의 경우 보안 설정 정책에서 IWA 인증 사용은 브라우저 및 네트워크 계층에서만 지원됩니다. 예를 들어, 위젯 카탈로그가 SPNEGO 보호 사이트에 있고 클라이언트 사용자가 임베디드 브라우저를 통해 카탈로그에 액세스하는 경우 사용자는 계정 없이도 카탈로그에 인증됩니다.

클라이언트 사용자에 대해 OS-CRED 계정을 작성하면 전체 Notes® 클라이언트에 대해 자동으로 IWA가 활성화됩니다. HCL Sametime® 및 HCL Connections 같은 애플리케이션 관련 계정도 OS-CRED 유형으로 변경할 수 있습니다.

IWA는 TAM-SPNEGO 계정으로 작동될 수도 있습니다. TAM-SPNEGO 계정 유형 사용자는 클라이언트의 plugin_customization.ini 파일을 사용하여 새로운 IWA 호환 SPNEGO 지원을 사용하도록 자신의 계정을 전환할 수 있습니다.
주: 일반적으로 이 파일은 Notes_install_dirframework\rcp 서브디렉토리에 있습니다. 예를 들면, 다음과 같습니다. 
Program Files\HCL\Notes\framework\rcp\plugin_customization.ini

Notes® 설치 또는 업그레이드 전에 파일은 Notes® 설치 킷의 배치 서브디렉토리에 있습니다.

모든 기존 TAM-SPNEGO 계정이 대신 OS-CRED 인증을 사용하도록 지정하려면 다음 명령문을 추가합니다. 
com.ibm.rcp.accounts/replace.tam.spnego=true
주: 이 설정에 대한 특정 Domino® 정책은 없습니다. 이는 기본적으로 Sametime®에서 사용합니다. plugin_customization.ini 파일에 대한 대안으로 Domino® 데스크탑 정책 설정 문서의 사용자 정의 설정 탭을 사용하여 설정을 적용하여 사용자 정의 이름 값/쌍을 정의할 수 있습니다. 정책을 사용하여 Eclipse 환경 설정을 적용하는 자세한 정보는 관련 항목을 참조하십시오.
OS-CRED SPNEGO는 자동으로 활성화되지 않습니다. 이를 사용으로 설정하려면 기존 Domino® 관리자 또는 클라이언트 환경 설정 사용자 인터페이스 메소드를 사용하여 OS-CRED 유형의 새로운 계정을 작성하거나, 다음 명령문을 클라이언트의 plugin_customization.ini 파일에 추가하여 플랫폼 환경 설정을 설정합니다. 
com.ibm.rcp.net.http/enable.spnego=true
임베디드 활동 사이드바 애플리케이션에 이 기능을 사용할 수 있습니다. 클라이언트 환경 설정을 구성할 때 계정 구성과 유사한 Connections 구성에서 이제 'OS 신임 정보'를 인증 유형으로 제공합니다. 다음과 같이 클라이언트의 plugin_customization.ini 파일에서 Connections 구성이 제공될 경우에도 지원됩니다. 
com.ibm.lconn.client.base/server=Connections_server_name
com.ibm.lconn.client.base/authtype=OS-CRED
SPNEGO 인증 중에 문제가 발생한 경우 rcpinstall.properties 파일에서 다음 설정으로 Eclipse 레벨 로깅의 다음 설정을 사용으로 설정할 수 있습니다. 이 경우 JVM 및 Notes®의 로그 출력이 클라이언트 시스템이 현재 사용하는 로그 파일에 제공됩니다. 기본적으로 이 파일은 C:\Program Files\HCL\Notes\Data\workspace\logs입니다. 
com.ibm.rcp.accounts.level=FINEST
com.ibm.rcp.net.http.level=FINEST
com.ibm.rcp.security.spnego.level=FINEST

Eclipse 기반 클라이언트에 IWA(Integrated Windows Authentication)를 사용할 때 유의해야 하는 몇 가지 고려사항과 제한사항이 있습니다.

  • IWA는 지원되는 Windows 플랫폼에서만 사용 가능합니다.
  • IWA는 Notes® 8.5.3 이상에서만 사용 가능합니다.
  • 클라이언트 기능은 정의된 제한된 서버 구성 세트에 대해서 다음과 같이 테스트되었습니다.

    클라이언트 사용자가 이 지원을 이용하려면 도메인 사용자로 Windows에 로그인해야 합니다. Windows에 로그인할 때 발생하는 인증 확인으로 인해 필요한 TGT(Ticket-granting ticket)가 생성됩니다. TGT가 없으면 JVM SPNEGO 지원이 작동하지 않습니다.

  • 교차 영역 및 교차 포레스트 인증은 시스템에 있는 krb5.ini 파일을 사용해서만 지원됩니다. krb5.iniC:\Windows 디렉토리에 있는 경우 기본 시스템 특성에서 이 파일의 값이 사용됩니다.
  • Windows 7 및 Windows Vista에서 UAC가 활성화된 경우 관리자 그룹의 구성원인 사용자에게는 SPNEGO가 작동하지 않습니다. 이 플랫폼에서 SPNEGO를 사용하려면 클라이언트 사용자에게 높은 권한을 사용하여 Notes®를 실행하거나, UAC를 비활성화하거나, 관리자가 아닌 사용자로 로그인하도록 알려 주십시오.