設定 Domino®Windows 服務

若要讓 Domino® 伺服器參與網路用戶端的 Windows 單一登入,Active Directory 管理員必須使用 Active Directory setspn 公用程式,至少指派一個服務主體名稱 (SPN) 給 Active Director 帳戶的伺服器。SPN 對應於伺服器 URL(例如 www.renovations.com)中的 DNS 名稱,網路用戶端用此來連接至 Domino® 伺服器。

執行這項作業的原因和時機

SPN 是 Domino® 伺服器在 Active Directory 網域中的身分必要部分,其格式如下所示:

HTTP/<DNS_NAME>@<Active_Directory_Kerberos_realm>

例如:

HTTP/www.renovations.com@AD.EAST.RENOVATIONS.COM

指派 SPN 時,表示告知 Windows Kerberos 金鑰分配中心 (KDC) 可向 Domino® 發出 Kerberos 服務通行證。然後網路瀏覽器用戶端便可代表網路使用者,將 Kerberos 服務通行證傳送給 Domino®,供其用於鑑別網路使用者。

您必須針對用於連接至 Domino® 伺服器的 URL,在其中找到的每一個 DNS 名稱指派 SPN。下列步驟說明在 Windows 單一登入環境中,進行網路使用者鑑別程序期間使用 SPN 的方式:

程序

  1. 網路使用者在瀏覽器中輸入 URL,以連接至參與 Windows 單一登入的 Domino® 伺服器。

    例如,使用者輸入下列 URL: 

    http://www.renovations.com/名稱。nsf
  2. 網路瀏覽器擷取 URL 所含的 DNS 名稱並據以建構 SPN。

    例如,瀏覽器建構下列 SPN:

    HTTP/www.renovations.com@AD.EAST.RENOVATIONS.COM

    DNS 名稱是 www.renovations.com

    Domino® 伺服器機器所屬的 Active Directory 網域是 AD.EAST.RENOVATIONS.COM

  3. 網路瀏覽器向 Active Directory 要求 SPN 的服務通行證。
  4. 網路瀏覽器接收服務通行證,並將其傳給 Domino® 伺服器。
  5. Domino® 伺服器接受服務通行證並鑑別使用者。

設定 Domino® 伺服器的 Windows 服務的步驟

程序

  1. 決定要對哪個 Active Directory 帳戶指派 SPN。
  2. 選擇性的: 指派 SPN 給該帳戶。選擇性地使用 Domino® 提供的 domspnego.cmd 公用程式來協助處理此步驟。
  3. 驗證 Domino® 伺服器 Windows 服務以使用該帳戶登入。