为 Domino® 设置 Windows™ 服务
要允许 Domino® 服务器参与 Web 客户机的 Windows™ 单点登录,Active Directory 管理员必须使用 Active Directory setspn 实用程序为 Active Directory 帐户分配服务器的至少一个服务主体名称 (SPN)。SPN 对应于 Web 客户机用于连接到 Domino® 服务器的服务器 URL 中的 DNS 名称(例如 www.renovations.com)。
关于此任务
SPN 是 Active Directory 域中的 Domino® 服务器身份的必需部分,格式如下:
HTTP/<DNS_name>@<Active_Directory_Kerberos_realm>
例如:
HTTP/www.renovations.com@AD.EAST.RENOVATIONS.COM
分配 SPN 时,相当于通知 Windows™ Kerberos 密钥分发中心 (KDC) 可以将 Kerberos 服务凭单发布到 Domino®。然后,Web 浏览器客户机可以代表 Web 用户向 Domino® 发送 Kerberos 服务凭单,用于认证 Web 用户。
必须为用于连接到 Domino® 服务器的 URL 中的每个 DNS 名称分配 SPN。以下步骤演示了如何在 Windows™ 单点登录环境中认证 Web 用户的过程中使用 SPN:
过程
-
Web 用户在浏览器中输入 URL,以连接到参与 Windows™ 单点登录的 Domino® 服务器。
例如,输入以下 URL:
http://www.renovations.com/names.nsf
-
Web 浏览器提取包含在 URL 中的 DNS 名,然后根据它创建一个 SPN。
例如,浏览器会创建以下 SPN:
HTTP/www.renovations.com@AD.EAST.RENOVATIONS.COM
DNS 的名称为 www.renovations.com
Domino® 服务器计算机所属的 Active Directory 域为 AD.EAST.RENOVATIONS.COM
- Web 浏览器向 Active Directory 请求 SPN 的服务凭单。
- Web 浏览器收到服务凭单,然后将其发送到 Domino® 服务器。
- Domino® 服务器接受服务凭单,并认证用户。
为 Domino® 服务器设置 Windows™ 服务的步骤
过程
- 确定 SPN 所分配到的 Active Directory 帐户。
- 可选: 将 SPN 分配到账户,(可选)使用 Domino® 提供的 domspnego.cmd 实用程序来帮助完成此步骤。
- 验证 Domino® 服务器 Windows™ 服务是否使用相应帐户进行登录。