Domino 发行的基于会话认证及单点登录 (SSO) 的 cookies

产品：Lotus Domino
平台：AIX, i5/OS, Linux, Solaris, Windows
软件版本：7.0, 6.5, 6.0, 5.0

摘要:

这篇文档包含了有关在 Lotus Domino 服务器上启用基于会话的认证时所产生的 Cookie 信息。

内容：

基于会话的认证选项有几种？

您可以为一台或多台服务器启用基于会话的认证，而不是基本的用户名和密码的认证。对于一台服务器启用此功能通常被称为基于会话的认证。你需要把会话认证域设置为“单一服务器”以实现这一功能。

对于多台服务器，基于对话的认证通常被称为单点登录。Domino 5.0.5 引入了这一功能。你需要把会话认证域设置为“多台服务器”并创建一个 Web SSO 配置文档以实现这一功能。

实现会话认证后会有如下优势：

· 你可以避免导致用户被不断重复提示输入用户名及密码的这类问题。
· 你可以通过控制台命令跟踪用户会话。
· 用户可以通过在 URL 后添加 "?logout" 以退出会话，而不必退出浏览器以结束一段会话。
· 你可以自定义登录页面。
· 用户可以先登录到一台 Domino 或者 WebSphere 服务器，再访问同一个 DNS 域中其他启用 SSO 的 Domino 或者 WebSphere 服务器时无需再次登录。

创建的cookie是怎样的

当网络浏览器用户进行了认证（通过提供用户名和密码）后，服务器便会将一个 cookie 颁发给该浏览器。对于在单个服务器上基于会话的认证，会话 ID 将被写入 cookie文件中。 该 Cookie 名为 DomAuthSessID。默认情况下，cookie 会在闲置三十分钟后过期。你也可以在服务器文档内的“Idle session timeout”域指定这个设置。

启用 SSO 后，服务器将生成一个认证令牌，此令牌将被以 cookie 的形式发送到浏览器。对于 SSO，该 cookie 名为 LtpaToken。你可以通过在 Web SSO 文件中设置 Token Expiration 域的值来修改有效期，在某些版本中相应的域名为 Idle Session Timeout。用于单点登录的 cookie 存储了用户的完整名，例如：
cn=john smith,ou=sales, o=ibm, c=us

对于启用 SSO 的服务器，在输入 URL 时必须指定全限定主机名，而不仅是主机名或 IP 地址。为了能够让浏览器将 cookie 信息发给一组服务器，cookie 中必须包含 DNS 域信息。

关于用户和 cookies 的跟踪信息

Domino 服务器控制台命令 "Tell HTTP Show Users" 可以用来追踪和显示用户的会话信息。
Web 浏览器用户可以在 URL 栏中输入以下网址命令，观察当前内存中的 cookie 信息。
JavaScript: alert(document.cookie)

在排除故障时浏览浏览器中现有的 cookie 很有帮助，你可以检查 cookie 的名称是否正确。

更多信息

你可以在Domino Administrator 帮助文档中标题为 "设置基于会话的名称和口令认证" 的文档里找到更多关于会话认证的信息，以及到相关配置步骤的链接。