Technote (troubleshooting)
問題
您啓用 Domino 服務器做多服務器會話驗證,也稱作單點用戶登錄 (SSO), 並且創建了 Web SSO 配置文檔。當您啓動 HTTP 任務的時候,您卻注意到下面的錯誤:
"HTTP Server: Error loading Web SSO Configuration 'LtpaToken' (Single Sign-On configuration is invalid)"
診斷問題
爲了解決此問題,您嘗試了下面的步驟:
- 重新創建 SSO 文檔。
- 使用服務器的 ID 而不是管理員的 ID 來創建 SSO 文檔。
- 證實您測試的服務器在 SSO 文檔的“參與的服務器”列表中存在。
- 證實服務器或管理員的ID文件中的公鑰與服務器或個人文檔中的匹配。
- 重新創建 SSO 文檔,在“參與的服務器”列表中僅包含此服務器的名字。
當做完前四步後您發現錯誤依然存在,在“參與的服務器”列表中僅包含此服務器的名字後,SSO 成功裝載。爲什麼移掉其它的服務器後就可以成功裝載 SSO?
解決問題
在某個案例中,這個錯誤的發生是因爲 Domino 服務器名作爲備用名被保存於某個用戶的個人文檔中。
當 SSO 配置文檔被保存的時候,使用以下成員的公共密鑰加密:文檔的創建者,所有者和管理員域中的成員,參與的服務器的成員。爲實現加密,Domino 服務器先在 $Users 視圖進行查找,然後在 $Servers 視圖進行查找。因此,如果 Domino 服務器的名字作爲備用名存在於某個用戶的個人文檔中,SSO 文檔會被使用此人的個人文檔中的公共密鑰加密,而不是使用服務器文檔中的公共密鑰。
要避免此錯誤,從個人文檔中刪除此服務器的名字,重建 Domino 目錄的視圖索引,然後重新創建 Web SSO 配置文檔。
例如:
您的 Domino 服務器的名稱爲 Acme/ABC,在您的 Domino 目錄中,有一個個人文檔,在用戶名域中包含下面的條目:
User Mailin/ABC
Joe Admin/ABC
User Mailin
Acme/ABC
爲了防止 SSO 錯誤出現,您必須從個人文檔中的用戶名域中刪除 "Acme/ABC" 條目。
從 Domino 目錄中搜索 $Users 視圖,可以判斷個人文檔的用戶名域中是否包含服務器名。