http://www.cnblogs.com/hannover/archive/2011/03/06/1972165.html
軟件版本:7.0, 6.5, 6.0, 5.0
摘要:
這篇文檔包含了有關在 Lotus Domino 服務器上啓用基於會話的認證時所產生的 Cookie 信息。
內容:
基於會話的認證選項有幾種?
您可以爲一臺或多臺服務器啓用基於會話的認證,而不是基本的用戶名和密碼的認證。對於一臺服務器啓用此功能通常被稱爲基於會話的認證。你需要把會話認證域設置爲“單一服務器”以實現這一功能。
對於多臺服務器,基於對話的認證通常被稱爲單點登錄。Domino 5.0.5 引入了這一功能。你需要把會話認證域設置爲“多臺服務器”並創建一個 Web SSO 配置文檔以實現這一功能。
實現會話認證後會有如下優勢:
· 你可以通過控制檯命令跟蹤用戶會話。
· 用戶可以通過在 URL 後添加 "?logout" 以退出會話,而不必退出瀏覽器以結束一段會話。
· 你可以自定義登錄頁面。
· 用戶可以先登錄到一臺 Domino 或者 WebSphere 服務器,再訪問同一個 DNS 域中其他啓用 SSO 的 Domino 或者 WebSphere 服務器時無需再次登錄。
創建的cookie是怎樣的
當網絡瀏覽器用戶進行了認證(通過提供用戶名和密碼)後,服務器便會將一個 cookie 頒發給該瀏覽器。對於在單個服務器上基於會話的認證,會話 ID 將被寫入 cookie文件中。 該 Cookie 名爲
DomAuthSessID。默認情況下,cookie 會在閒置三十分鐘後過期。你也可以在服務器文檔內的“Idle session timeout”域指定這個設置。
啓用 SSO 後,服務器將生成一個認證令牌,此令牌將被以 cookie 的形式發送到瀏覽器。對於 SSO,該 cookie 名爲
LtpaToken。你可以通過在 Web SSO 文件中設置 Token Expiration 域的值來修改有效期,在某些版本中相應的域名爲 Idle Session Timeout。用於單點登錄的 cookie 存儲了用戶的完整名,例如:
cn=john smith,ou=sales, o=ibm, c=us
對於啓用 SSO 的服務器,在輸入 URL 時必須指定全限定主機名,而不僅是主機名或 IP 地址。爲了能夠讓瀏覽器將 cookie 信息發給一組服務器,cookie 中必須包含 DNS 域信息。
關於用戶和 cookies 的跟蹤信息
Domino 服務器控制檯命令 "Tell HTTP Show Users" 可以用來追蹤和顯示用戶的會話信息。
Web 瀏覽器用戶可以在 URL 欄中輸入以下網址命令,觀察當前內存中的 cookie 信息。
JavaScript: alert(document.cookie)
在排除故障時瀏覽瀏覽器中現有的 cookie 很有幫助,你可以檢查 cookie 的名稱是否正確。
更多信息
你可以在Domino Administrator 幫助文檔中標題爲 "設置基於會話的名稱和口令認證"的文檔裏找到更多關於會話認證的信息,以及到相關配置步驟的鏈接。