使用 IBM Lotus Mobile Connect 支援對 IBM Lotus iNotes 的安全遠端訪問

轉自：http://www.ibm.com/developerworks/cn/lotus/notes-mobile-connect/index.html

簡介

本文面向的讀者是那些需要從 PDA、膝上型電腦或工作站等裝置對企業 Lotus iNotes 伺服器進行安全的遠端訪問的 IBM Lotus iNotes 客戶，這些裝置需要從公司內部網之外進行訪問。通過 Lotus Mobile Connect，有兩種方法可以實現這種訪問。

Lotus Mobile Connect 提供了一個基於客戶端/伺服器的虛擬專用網（VPN）解決方案，這種解決方案要求在受支援的使用者平臺上安裝 Lotus Mobile Connect 客戶端。對於基於 HTTP 的應用程式（例如 Lotus iNotes），Lotus Mobile Connect 還提供一個 clientless 選項，這個選項不需要在使用者裝置上安裝任何附加的軟體；相反，它通過基於瀏覽器的登入提供安全認證（見圖 1）。

本文解釋如何將 Lotus Mobile Connect clientless 選項與 Lotus iNotes 結合起來使用。

圖 1. Lotus Mobile Connect clientless 選項與 Lotus iNotes
 

為什麼選擇 Lotus Mobile Connect？

Lotus Mobile Connect 提供獲 Federal Information Processing Standards (FIPS) 140-2 認證的平臺，這種平臺包含最新的安全套接字層（SSL）/ 傳輸層安全協議（TLS）加密程式和業界標準的認證機制。Lotus Mobile Connect clientless 選項，即 Lotus Mobile Connect HTTP 訪問服務，使用與純 VPN 客戶端同樣強大的認證和加密演算法。可以配置 HTTP 訪問服務，使之與純 VPN 會話同時執行，提供輕巧的多功能遠端訪問解決方案，使 IT 管理員可以控制每個使用者的訪問範圍。

通過 Lotus Mobile Connect 的管理控制檯 Gatekeeper，可以訪問所有配置選項，對加密程式、認證方法、安全限制和企業接收站進行全盤控制。

工作原理

Lotus Mobile Connect HTTP 訪問服務通過強制基於遠端 HTTP 的應用程式使用業界標準的 SSL/TLS 技術進行連線，保證通訊的安全。SSL/TLS 加密程式是可配置的，可以對它進行限制，使之適用於獲 FIPS 140-2 認證的演算法。另外，還可以使用雙向憑證驗證，為會話增加附加的信任層。

建立安全的通訊後，Connection Manager 向遠端應用程式傳送一個基於表單的詢問，要求對方提供使用者憑證。憑證資訊採用 x-www-url 編碼的，由 HTTP POST 操作通過安全連線傳送。HTTP 訪問服務解碼該資訊，並使用可配置的認證方法驗證它。

如果驗證成功，HTTP 訪問服務構建一個令牌，並使用 HTTP Set-Cookie 操作模型將它傳送到遠端應用程式。該 cookie 包含一個 Lotus Mobile Connect 特有的加密的令牌，並開啟安全和會話位。然後，遠端客戶端需要在將來所有的請求中包括這個 cookie。

現在，HTTP 流中有了令牌，HTTP 訪問服務開啟與一個企業主機的連線，並中繼來回傳輸，就像 SSL/TLS 閘道器一樣。

它不是什麼

Lotus Mobile Connect Connection Manager 的 clientless 支援不是一個 HTTP 代理。它不快取任何內容，也不儲存 HTTP 資料流主體中包含的任何其他資訊。它不是優化器、壓縮器或令牌回收器，它不能重新整理瀏覽器的快取。由於使用安全會話 cookie，使用者在完成一個應用程式會話時，必須確保退出瀏覽器會話。

為什麼選擇 Lotus iNotes？

Lotus iNotes 是一個基於 Web 的應用程式，它通過標準的 Web 瀏覽器提供對 Lotus Notes 郵件和個人資訊管理（PIM）資訊的訪問。由於瀏覽器使用 HTTP 作為主要傳輸，該應用程式可以利用 Lotus Mobile Connect 的 clientless 選項，允許使用者使用受支援的瀏覽器通過 Internet 訪問企業內部網中的郵件資料庫。

Lotus iNotes，前名 IBM Lotus Domino® Web Access，支援 3 種不同的使用模式。全模式提供最豐富的特性集，適用於有足夠頻寬的情況。對於通過高速網路連線訪問郵件伺服器的專用工作站來說，這種模式是首選模式。在 8.0.1 之前的 Lotus Domino 版本中，全模式是唯一的模式。它包括以下主要功能領域：

• 歡迎頁面（一個可定製的主頁）
• Mail
• Calendar
• Contacts
• To-do
• Notebook

對於某些瀏覽器，Lotus iNotes 還支援 Lotus Notes 和 S/MIME 加密以及快取擦洗（cache-scrubbing）功能。和 Lotus Sametime® 伺服器一起使用時，它可以提供整合的即時訊息通訊和出席提醒。Lotus iNotes 還通過 Domino Off-Line Services（DOLS）提供幾乎所有離線功能以及本地歸檔功能。當與 Lotus Domino Unified Communications 一起部署時，它還提供多種統一通訊特性。

Lotus Domino 8.0.1 中首次出現的 Lite 模式是一個縮減版，為頻寬有限的環境作了優化。它的最初發行版只支援 Mail 功能，允許使用側邊欄有限制地訪問 Calendar 資料。和全模式一樣，它利用最新的 Asynchronous JavaScript™ and XML（AJAX）技術，提供富使用者體驗。使用者介面（UI）甚至更加與 Lotus Notes 富客戶端產品一致。

Ultralite 模式是在 Lotus Domino 8.0.2 中引入的，專為最新的窄幅移動裝置上的瀏覽器設計。最初版支援 Apple iPhone 和 iPod Touch 裝置。UI 完全遵從 Apple 為 iPhone 應用程式提供的建議指導原則。Ultralite 模式使用最少的指令碼，並且被設計為在禁用指令碼的瀏覽器上執行。

架構

我們來研究一下這裡提到的兩個產品元件 Lotus Mobile Connect 和 Lotus iNotes 的架構。

Lotus Mobile Connect HTTP 訪問服務

Connection Manager HTTP 訪問服務為來自任何 HTTP version 1.1 客戶端資料流（例如 Web 瀏覽器）的 HTTP 通訊提供 SSL/TLS 閘道器功能。這種連線無需 VPN 客戶端，便可以訪問基於 Web 的服務和企業中的內容。會話安全由 SSL/TLS 保證，並且只允許來自指定主機或地址範圍的連線。

HTTP 訪問服務是 Lotus Mobile Connect 中的一個子系統。Lotus Mobile Connect 負責將設定的配置選項應用到所有連線請求和資料傳輸，而這個子系統負責實施安全性措施、驗證訪問、生成審計資訊以及將傳輸中轉到企業中的目標伺服器。

SSL/TLS

當與瀏覽器或客戶端應用程式通訊時，Connection Manager 的 HTTP 訪問服務使用 SSL 或 TLS。第 2 版和第 3 版的 SSL 協議均受支援，下面是受支援的演算法：

• 公共金鑰演算法
  
  • RSA (1024-, 768-, or 512-bit keys)
• 對稱金鑰演算法
  
  • DES (56-bit key)
  • Triple DES (168-bit key)
  • RC4 (40-, 56-, or 128-bit keys)
• 訊息認證碼
  
  • SHA-1
  • MD5

X.509 憑證可以為 SSL/TLS 通訊提供憑證。這些憑證，以及用於驗證其他方憑證的 root 憑證，儲存在一個金鑰資料庫中，這個金鑰資料庫是隨 Connection Manager 一起安裝的。Connection Manager 管理員可以使用 Gatekeeper 管理控制檯配置這個資料庫的源。管理員還可以使用 SSL 工具包 IBM Key Management 的管理介面配置所需的 root 憑證和客戶端憑證。

Lotus Mobile Connect 支援將 SSL/TLS 加密程式限制在經 FIPS 140-2 認證的那些加密程式以內，並支援拒絕只支援 SSL/TLS version 2 加密程式的連線請求。

認證

HTTP 訪問服務對每個安全 HTTP 連線進行認證，檢查資料流中是否包含有效的使用者憑證。如果沒有有效的使用者憑證，則發出一個可配置的基於表單的詢問，要求提供有效的使用者 ID 和密碼。該功能使用 Lotus Mobile Connect 所有元件可用的認證方法和演算法。

認證方法是資源容器，其中定義 Lotus Mobile Connect 如何詢問和驗證遠端使用者憑證。Lotus Mobile Connect 支援使用以下資源的驗證憑證的方法：

• 遵從 LDAP V3 的目錄伺服器
• RADIUS 協議伺服器
• 包括 next-token 支援的 RSA Secure ID
• X.509 憑證交換
• Lotus Mobile Connect 系統使用者帳戶

要了解關於認證方法的更多資訊，請參閱 Lotus Mobile Connect Information Center 中的管理員指南。

單點登入（Single Sign-On，SSO）

HTTP 訪問服務可通過輕量級第三方認證（Lightweight Third Party Authentication，LTPA）啟用 SSO。LTPA 提供一種在令牌中儲存使用者認證資訊的機制，令牌是在使用者成功通過 Connection Manager 認證時生成的。令牌以密碼和公共/私有金鑰對加密和簽名，然後儲存在 HTTP cookie 中，最後包括在配置的 SSO 域中的所有請求中。

同一個域中其他啟用 LTPA 的伺服器共享 LTPA 金鑰，所以這些伺服器可以驗證令牌和認證使用者請求，而不需要詢問使用者。LTPA 令牌包括一個可配置的到期時間戳。令牌到期後，將發出新的認證詢問。

LTPA 令牌用於替代特定於 Lotus Mobile Connect 的令牌，它被使用 Set-Cookie 指令以 HTTP cookie 的形式傳送到 HTTP 客戶端應用程式。HTTP 客戶端將這個令牌包括在將來所有的 HTTP 請求中。

HTTP 訪問服務資源

HTTP 訪問服務資源包含告訴 Lotus Mobile Connect 如何認證使用者以及將傳輸中轉到後端伺服器的何處的資訊。每個 HTTP 訪問服務資源可以將傳輸傳送到一個應用程式伺服器或代理。有 3 個選項可用於配置對多個後端應用程式伺服器的訪問：

• Lotus iNotes Redirector。Lotus Mobile Connect 與 Lotus iNotes Redirector 緊密整合，允許單個 HTTP 訪問服務定義用於多個後端 Lotus iNotes 郵件伺服器。
• Use a transcoding reverse proxy。該選項允許反向代理根據目標 URL 中包含的資訊將傳輸路由到適當的目的地。
• Assign different listen ports to each HTTP access services resource definition。由於每個 HTTP 訪問服務資源可配置為將傳輸傳送到不同的後端伺服器或代理，因此可以配置每個服務，以偵聽不同的埠。使用者需要知道這個埠，並將它新增到 URL 請求中，例如：https://inotes.xyz.com:12345。
• Use multiple Internet protocol addresses。HTTP 訪問服務配置包括將服務繫結到特定 IP 地址的能力。這樣一來，可以有多個 HTTP 訪問服務資源偵聽同一組埠。對於需要使用標準 HTTP 埠 80 和 443 的應用程式，該選項是必需的。使用者看到的 URL 看上去像不同的主機名，例如：https://inotes1.example.com，https://inotes2.example.com。

可配置的基於表單的詢問

Lotus Mobile Connect 在分析 HTTP 頭部中的令牌後，生成詢問表單，以確定瀏覽器型別和首選地區（見圖 2）。用於該表單的模板檔案隨產品安裝在特定於地區的子目錄中。這些模板被設計為可定製，但是基本屬性結構和功能不能更改。

圖 2. 基於表單的詢問螢幕

管理員可以隨意更改背景、影像、文字等。資原始檔位於安裝路徑外特定於地區的子目錄中，如下所示：

• AIX：/opt/IBM/ConnectionManager/http/msg//
• Linux / Solaris：/opt/ibm/ConnectionManager/http/msg//
• Windows Server：C:\Program Files\IBM\Connection Manager\http\msg\交付給瀏覽器的資原始檔有一個 standard_ 字首，而用於移動裝置的資原始檔有一個 mobile_ 字首。這些檔案是按需裝載的，任何更改將在下一次訪問時顯現，無需重新啟動伺服器。移動版的詢問表單按 iPhone/iPod 顯示設計（見圖 3）。

圖 3. 移動版詢問螢幕

當輸入一個使用者 ID 和密碼，並單擊 Login 按鈕時，瀏覽器生成一個 URL 編碼的 POST 操作，其中包含輸入的欄位和包括關於會話的資訊的隱藏欄位。

基於 HTTP 的應用程式可以回答詢問，而不需要將該頁面顯示給使用者。可以通過查詢 HTTP 頭部中的 Server 令牌，惟一地確定 Lotus Mobile Connect 詢問。

Lotus iNotes

安裝 Lotus Domino 伺服器時，只要沒有在定製安裝時取消 Lotus iNotes 選項，便會一同安裝 Lotus iNotes。要了解關於安裝和配置 Lotus iNotes 的詳細資訊，請查閱 Lotus Domino 管理員幫助。

配置

要啟用 HTTP 訪問服務對 Lotus iNotes 的訪問，需要對這兩個元件在架構上有所選擇，並進行一些配置步驟。本節描述對於每個元件的選項和需求。

Lotus iNotes

對於 Lotus Mobile Connect 訪問的每個 Lotus iNotes 伺服器，需要內部網路地址或主機名以及 TCP 埠，以適當地配置 Lotus Mobile Connect HTTP 訪問服務。如果想對 Lotus iNotes 與 Lotus Mobile Connect 伺服器之間的管道進行加密，那麼對於每個 Lotus iNotes 伺服器，需要將一個 PKCS12 格式的憑證匯入到 Lotus Mobile Connect 的金鑰資料庫中。

Lotus Mobile Connect

配置 Lotus Mobile Connect 時，需要設定認證方法，並定義一個或多個 HTTP 訪問服務資源例項。本節包括從 Lotus Mobile Connect 管理控制檯 Gatekeeper 獲取的螢幕截圖。

我們來考慮一個示例架構，其中包括一個 HTTP 訪問服務，它被配置為根據一個 Lotus Domino LDAP 目錄伺服器對使用者進行認證，然後將經過認證的傳輸中轉到一個 Lotus iNotes Redirector 節點。

以下步驟假設使用 Lotus Mobile Connect Gatekeeper 管理介面。

目錄伺服器資源

首先，我們使用以下步驟建立一個目錄伺服器資源：

1. 右鍵單擊一個頂級資料夾，或者建立一個新的用於包含配置資訊的資料夾，並選擇 Add resource - Directory server。
2. 在 Add a Directory Server 視窗中（見圖 4)，輸入一個 Common name（描述資源的任意格式的文字）。
3. 輸入目錄伺服器的主機名或 IP 地址。
4. 輸入基準標識名（Base distinguished name），即所有使用者常見的最特定的字尾。這是目錄樹中用於解析使用者帳戶的起始點。單擊 Next。
   
   
   
   圖 4. Add a Directory Server 視窗
   
   
   
5. 在接下來的螢幕上（見圖 5），輸入服務的埠號。
6. 如果不允許匿名搜尋，那麼輸入管理員的標識名和密碼。
7. 如果目錄伺服器要求安全連線，那麼啟用 Use secure connection 選項，並輸入一個金鑰資料庫（Key database）和 stash 檔案。如果目錄伺服器使用自簽名的憑證，那麼需要將那個憑證匯入到金鑰資料庫。
8. 單擊 Next。選擇一個 Primary OU，單擊 Finish。
   
   
   
   圖 5. 第二個 Add a Directory Server 視窗
   
   
   

認證 profile 資源

接下來的步驟是定義一個使用上一步的目錄伺服器資源的認證 profile。認證 profile 是一個容器，其中定義 HTTP 訪問服務如何詢問和驗證使用者憑證。

Lotus Mobile Connect 支援 LDAP、RADIUS/RSA Secure ID、雙向憑證驗證和特定於系統的認證方法。這個例子使用基於 Lotus Domino 目錄伺服器的 LDAP 認證：

1. 再次右鍵單擊 System 容器，這一次選擇 Add Resource - Authentication Profile - LDAP-bind Authentication。
2. 在 Add a New Authentication Profile 視窗（見圖 6）中，輸入一個 Common name 和可選的 Description（描述 profile 的任意格式的文字）。
3. 選擇一個 Password policy。該策略用於確定鎖住帳戶前允許登入失敗的次數。要檢視/編輯密碼策略，可檢視 Default Resources - Wireless Password Policy container。
4. 還可以選擇一個 Backup authentication profile，如果這個 profile 失效，可以使用這個備用認證 profile 連線到外部伺服器，但這不是必需的。單擊 Next。
   
   
   
   圖 6. Add a New Authentication Profile 視窗
   
   
   
5. 在接下來顯示的視窗中（見圖 7），選擇之前定義的 Directory Server。
6. User key field 是 Lotus Mobile Connect 用於搜尋目錄伺服器，以查詢憑證詢問所提供的使用者 ID 的屬性。它預設為 mail，但也可以設為屬於 LDAP 中的使用者記錄的任何屬性。
   
   
   
   圖 7. 第二個 Add a New Authentication Profile 視窗
   
   
   
7. 如果想將訪問限定於某些組或型別的僱員，可以輸入 Additional search criteria，例如組資訊或僱員型別。該欄位要求 X.500 表示法，例如(&(employeeType=active)(group=remoteAccess))。
8. 設定 Maximum number of processing threads。每個活動會話被分配一個負責處理它的執行緒。該執行緒負責客戶端瀏覽器與後端應用程式伺服器之間的所有資料交換。為獲得最佳執行緒數，需要經過一些試驗和失敗，但一個很好的經驗法則是，每 100 個併發會話分配一個執行緒。單擊 Next。
9. 在接下來的視窗中（見圖 8），如果需要單點登入（SSO），選擇 Enable LTPA 選項。本文後面將詳細描述完成 SSO 配置所需的步驟。現在可以暫時不選這個選項。單擊 Next。
   
   
   
   圖 8. 第三個 Add a New Authentication Profile 視窗
   
   
   
10. 在接下來的視窗中，選擇 Primary OU 並單擊 Finish。

建立資源後，可以在 Properties 皮膚上發現更多配置選項。可以通過查閱系統管理員指南，或者檢視屬性皮膚並選擇 “Tip on a specific option”，獲得更多關於這些選項的資訊。

HTTP 訪問服務資源

現在，我們必須建立一個 HTTP 訪問服務資源。HTTP 訪問服務被設計為將經過認證的傳輸中轉到一個後端應用程式伺服器或代理。多個後端應用程式伺服器需要多個 HTTP 訪問服務定義。

對於 Lotus iNotes，Lotus Mobile Connect 包含與 iNotes Redirector 功能一起使用的整合程式碼，允許一個 HTTP 訪問服務將傳輸中轉到多個 Lotus iNotes 郵件服務區。

HTTP 訪問服務要求公共憑證，以保證通訊安全。Lotus Mobile Connect 提供了一個與金鑰資料庫一起使用的實用程式，用於生成請求給定計算機名的憑證時所使用的 Certificate Request Message（CRM），以及生成自簽名的憑證。這個實用程式名為 wg_keyman，它位於安裝目錄下的 bin 子目錄中。

使用以下步驟新增一個 HTTP 訪問服務請求：

1. 為了新增一個 HTTP 訪問服務資源，右鍵單擊 Connection Manager 資源，選擇 Add - HTTP Access Service。這時出現圖 9 所示視窗。
   
   
   
   圖 9. 新增一個 HTTP 訪問服務
   
   
   
   • 在 Service URL 欄位中，輸入與用於確保連線安全的憑證中所包含的 URL 匹配的文字字串。
   • 在 TCP Port to listen on 欄位中，輸入服務為獲得訪問請求而偵聽的 TCP 埠。預設為 443。
   • 在 Description 欄位，輸入任意格式的文字，以描述服務。
   • 在 Current state 欄位中，選擇服務的狀態。active 狀態意味著 Connection Manager 啟用服務；defined 狀態相當於停止狀態，在此狀態下，Connection Manager 不啟動服務，使之不可達。
2. 單擊 Next；這時出現圖 10 顯示的視窗。
   
   
   
   圖 10. 指定 HTTP 訪問服務的操作模式
   
   
   
   • 在 HTTP Proxy address 欄位中，輸入作為認證的傳輸的重定向目的地的反向代理或應用程式伺服器的主機名或 IP 地址。
   • 在 HTTP Proxy port 欄位中，輸入作為認證的傳輸的重定向目的地的反向代理或應用程式伺服器的 TCP 埠。
   • 選擇 Require SSL to proxy 選項，要求 Lotus Mobile Connect 伺服器與代理或應用程式伺服器之間使用 SSL/TLS。
   • 在 Authentication Profile 欄位中，輸入用於驗證遠端使用者憑證的認證方法。
   • 如果設定 SSO Domain 選項，那麼該值將覆蓋認證方法中設定的值。如果不設定該選項，那麼將使用認證方法中的屬性。
3. 單擊 Next；這時將顯示圖 11 所示視窗。
   
   
   
   圖 11. 指定最大執行緒數和空閒時間
   
   
   
4. 在 Maximum number of processing threads 欄位中，輸入併發處理的執行緒的數量。在設定這個值時，需要考慮併發會話的數量和處理器的數量。對於有 1000 個併發會話的雙處理器系統，建議值為 5。
5. 在 Maximum idle time 欄位中，輸入會話可空閒的最長時間，超過這個時間後，Connection Manager 將清理會話的認證令牌，迫使客戶端重新授權。
6. 選擇 Bind port to a specific address 選項，將服務繫結到特定的 Internet 地址。通過這樣的繫結，可以配置多個 HTTP 訪問服務資源偵聽相同的埠，從而允許根據初始請求的 Internet 地址使用不同的後端伺服器。可以使用 IP 別名將多個地址指定給一個網路介面。
7. 在 Address to bind to 欄位，輸入將服務繫結到的 Internet 地址或主機名。

使用憑證保證 HTTP 訪問服務的安全

HTTP 訪問服務上的通訊通過 Secure Sockets Layer (SSL) / Transport Layer Security (TLS) 獲得安全保證。這要求將外部可見的主機名的憑證儲存在一個 Cryptographic Message Syntax (CMS) 金鑰資料庫檔案中。

Lotus Mobile Connect 附帶有一個實用程式 wg_ikeyman，用於管理金鑰資料庫檔案。該實用程式生成自簽名的憑證和 CRM，以便從認證中心（certificate authority）獲得一個公共憑證。

自簽名憑證也可以使用，但是要求使用者第一次連線到 HTTP 訪問服務時接受並匯入憑證。由於這個原因，建議使用有效的公共憑證。要生成和使用自簽名憑證，可遵循以下步驟：

1. 從命令列輸入 wg_ikeyman。
2. 可以使用新的金鑰資料庫檔案，或者使用 Lotus Mobile Connect 安裝的金鑰資料庫檔案：
   
   
   • 要使用已有的檔案，可選擇 Key Database File > Open。將 Key database type 設為 CMS，使用 Browse 按鈕瀏覽至 Lotus Mobile Connect 安裝目錄，然後選擇 http.trusted.kdb 檔案。
   • 如果要建立新的金鑰資料庫檔案，應確保選擇 “Stash the password to a file” 選項。
3. 輸入密碼；預設為 “trusted”。
4. 要建立自簽名憑證，選擇 Create - New Self-Signed Certificate。至少要輸入一個 key label 和一個 common name。common name 應該與 Lotus Mobile Connect 伺服器的全限定外部主機名相匹配。
5. 單擊 OK，然後退出 IBM Key Management 應用程式。
6. 使用 Gatekeeper，開啟 HTTP 訪問服務屬性皮膚，選擇 SSL 選項卡，確認 File name of key database 和 File name of stash password 欄位設定正確。儘可能使用全路徑。
7. 還可以選擇 SSL Ciphers 選項卡，然後選擇適當的加密程式。預設設定是允許所有 V2 和 V3 加密程式。單擊 OK。

單點登入（Single Sign-On，SSO）

為 Lotus Mobile Connect 和 Lotus iNotes 啟用 SSO 時，需要由 Lotus Mobile Connect 生成一個公共金鑰檔案，然後由 Lotus iNotes redirector 和郵件伺服器節點匯入該檔案。

在 Lotus Mobile Connect 上配置/啟用 SSO

可以使用 Gatekeeper 為 Lotus Mobile Connect 啟用 SSO，方法是導航到 HTTP 訪問服務使用的認證方法，並修改 Properties 皮膚上的 LTPA/SSO 選項卡（見圖 12），步驟如下：

1. 選擇 Enable LTPA 核取方塊。
2. 輸入 LTPA token realm/domain。該值通常設為用於認證的 LDAP 或 RADIUS 伺服器的全限定主機名。
3. 選擇 LTPA token user identification field。對於使用 LDAP 的認證，選擇 distinguished name；對於使用 RADIUS 的認證，則選擇 uid；還有一個選項是 Secure ID。
4. 選擇 Enable SSO 核取方塊，並設定一個 SSO Domain。SSO 域用於通知瀏覽器何時將 LTPA 令牌作為 cookie 包括在 HTTP 頭部流中。
   
   

   對於 HTTP 訪問服務，這個值應該設為用於從瀏覽器訪問 HTTP 訪問服務的全限定外部主機名。如果使用不止一個主機名，可以將它設為外部域。也可以在 HTTP 訪問服務定義中設定這個值，在此情況下設定的值將覆蓋認證 profile 中的設定。

5. 選擇 Enable SSO over SSL connections only。LTPA 令牌是敏感資訊，只有當在安全連線上與 Lotus Mobile Connect 通訊時，瀏覽器才應該包括 LTPA 令牌。
   
   
   
   圖 12. LTPA/SSO 選項卡
   
   
   
6. 在 LTPA key action 區，選擇 Generate new keys 單選按鈕，並輸入 6-32 個字元的密碼。記住這個密碼。在 iNotes 伺服器上匯入金鑰檔案時需要這個密碼。
7. 單擊 Apply 按鈕，生成用於生成 LTPA 令牌的金鑰。這些金鑰由 Lotus Mobile Connect 內部儲存，現在必須匯出。

將 LTPA 金鑰匯出到檔案

之前的步驟生成用於生成 LTPA 令牌的金鑰和密碼。為了使 SSO 正常工作，必須將該資料匯出到基於該令牌授予訪問權的其他應用程式伺服器可接受的格式中。為了讓 Lotus Mobile Connect 匯出金鑰和配置資料，遵循以下步驟：

1. 在 LTPA/SSO 選項卡的 LTPA key action 區（見圖 12），選擇 Export to keyfile 單選按鈕，然後輸入一個檔名。這裡應提供檔案的完整路徑。
2. 單擊 Apply 匯出檔案。該金鑰檔案是一個使用者可讀的 ASCII 檔案，可傳輸到 iNotes 應用程式伺服器。

在 Lotus iNotes 伺服器上匯入 LTPA 金鑰檔案

為了讓 SSO 正常工作，所有伺服器必須同意金鑰、使用者資訊和各種其他配置資料。Lotus Mobile Connect 已經生成了金鑰檔案。現在，所有參與的 iNotes 伺服器必須匯入該檔案。遵循以下步驟：

1. 啟動 Lotus Domino Administration 客戶端，選擇 File - Open Server。
2. 輸入使用的伺服器的名稱，然後在 Configuration 選項卡上，展開 Server 並從左側導航皮膚選擇 All Server Documents。
3. 在 Server 文件中，從選單中選擇 Create - Web SSO Configuration。
4. 在 Web SSO Configuration 視窗中（見圖 13），輸入一個唯一的 Configuration Name，例如 LtpaTokenLOTUSMOBILECONNECT，並輸入應用程式伺服器所在的 DNS Domain，例如 .xyz.com。然後，在 Participating Servers 區，新增參與 SSO 配置的 Lotus Domino 伺服器的名稱。
   
   
   
   圖 13. Web SSO Configuration 視窗
   
   
   
5. 單擊 Keys（在 Web SSS Configuration 視窗頂部的選單條上），選擇 Import WebSphere LTPA Keys。
6. 在 Enter Import File Name 提示框中（見圖 14），輸入從 Lotus Mobile Connect Export Key file 步驟獲得的金鑰檔案的位置，並單擊 OK。
   
   
   
   圖 14. Enter Import File Name 提示框
   
   
   
7. 輸入金鑰檔案密碼，然後單擊 OK。
8. 這時出現一個視窗，顯示 LTPA 令牌配置資訊。單擊 Save & Close。
9. 返回 Server 文件中的 Configuration 選項卡，選擇 All Server Documents，然後選擇要將金鑰檔案匯入到的伺服器。
10. 在 Server 文件中，選擇 Internet Protocols 選項卡，然後選擇 Domino Web Engine 選項卡（見圖 15）。
11. 將 Session authentication 欄位設為 Multiple Servers (SSO），並將 Web SSO Configuration 欄位設為以上步驟 4 中設定的 Configuration Name。
12. 儲存並關閉文件，重新啟動伺服器。
    
    
    
    圖 15. Domino Server 文件
     
    

    結束語

    如今，工作人員變得越來越具有移動性。企業需要將電子郵件和 PIM 應用程式的範圍擴充套件到通過企業或外部提供的移動裝置、膝上型電腦和工作站使用瀏覽器進行訪問的使用者。以 Lotus iNotes 作為基於 Web 的應用程式，以 Lotus Mobile Connect 保證遠端訪問的安全，這樣的組合為 Lotus Notes 客戶滿足以上關鍵業務需求提供了功能豐富、安全可靠的解決方案。

    
    

來自 “ ITPUB部落格 ” ，連結：http://blog.itpub.net/14751907/viewspace-622534/，如需轉載，請註明出處，否則將追究法律責任。