具有 Kerberos 身份验证和 XPages 的 Lotus Domino 服务器

Posted 2023-03-03

【中文标题】具有 Kerberos 身份验证和 XPages 的 Lotus Domino 服务器

【英文标题】：Lotus Domino Server with Kerberos Authentication and XPages

【发布时间】：2012-10-28 12:21:03

【问题描述】：

真的很奇怪的身份验证问题正在发生 - 希望有人能提供帮助！

Domino Web 服务器日志数据库显示特定用户对我所管理的应用程序中的页面的所有请求。该应用程序是基于 XPages 的，用户经常在她正在编辑的文档上按保存（每隔几分钟）。存档会进行完整更新。

LTPA 令牌的有效期为 30 分钟 - 但是我假设每次用户执行完全更新时，都会更新 30 分钟的令牌？

但是，在查看日志时，09:05 的文档保存按名称显示远程用户，09:07 的另一个保存仍然按名称显示用户。 09:11 的下一次保存显示了远程用户的 IP 地址，当您更详细地查看日志条目时，服务器已回复 401 UNAUTHORIZED（客户端无权访问数据）。这当然会导致用户的浏览器丢失他们当时打开的工作。

每个日志条目上的 Cookie 显示：

LtpaToken=AAECAzUwOUI2RjRCNTA5Qjc2NTNDTj1Bbm5lIExhdm91ZS9PVT1VSy9PPVJVSyvsCs5c4tITD9elgI0BCN5CnZ0O; SessionID=DBDFDKDGTI

保存文档工作和失败的条目具有相同的 LTPA 令牌和会话 ID。

不出所料，他们随后通过关闭网页并在出现错误后返回到它来刷新会话，并且他们获得了新的 LTPA 令牌和会话 ID。

我所指的 30 分钟 LTPA 令牌有效期设置是由我们的管理员在 NAB 的“服务器\互联网站点”视图中的服务器 Web SSO 配置文档中定义的。这是令牌到期（分钟）设置。我是否完全误解了这个设置 - 每次用户完全提交到服务器时是否应该更新超时？还是这里发生了其他事情？

【问题讨论】：

+1 SSO 也有同样的问题 - 令牌在上次活动后的几秒/分钟内随机过期。与 IBM 人员讨论过，但还没有解决方案。请在此处发布您的发现。

【参考方案1】：

我认为令牌没有更新。无论用户是否处于活动状态，它都会超时。

您可以将过期超时增加到一个合理的高值，然后添加一个较低的最小超时，以确保会话不会过早超时。

这是一个示例，其中过期设置非常高，超时设置为 2 小时：

【讨论】：

感谢您的建议。无论出于何种原因，目前似乎都不愿意更改这些设置。也有人指出，当使用 Kerberos 的 SSO 身份验证时，空闲会话超时实际上被忽略了 - 对此有什么想法吗？

我不知道使用 Kerberos 进行 SSO 的详细信息

好的，他们已将令牌过期的设置更改为 600 分钟，这似乎解决了问题 - 我们不再每 30 分钟出现 401 错误。我一直认为令牌会在到期超时内每次成功发布到服务器时更新，但似乎并非如此。感谢您指出这一点！

更新令牌是一项昂贵的操作，因此它是一个简单的过期计时器，而不是不活动计时器。