ЗАО «К ОМ П АНИ Я «И НТЕ Р Т РАСТ » Р О ССИЯ , 125319, Г. М О СКВА , УЛ . У СИЕВИЧА , 3 ТЕЛ .: (495) 956-79-28 WWW . INTERTRUST. RU Требования к инфраструктуре для настройки SSO и установки рабочих мест в CompanyMedia версии 4.1. 1 ЗАО «К ОМ П АНИ Я «И НТЕ Р Т РАСТ » Р О ССИЯ , 125319, Г. М О СКВА , УЛ . У СИЕВИЧА , 3 ТЕЛ .: (495) 956-79-28 WWW . INTERTRUST. RU Содержание 1. ОПИСАНИЕ ................................................................................................................................................................ 3 1.1. ПРИНЯТЫЕ СОКРАЩЕНИЯ ............................................................................................................3 1.2. АНКЕТА ГОТОВНОСТИ ИНФРАСТРУКТУРЫ ......................................................................................4 2. ТРЕБОВАНИЯ К ИНФРАСТРУКТУРЕ ................................................................................................................. 5 2.1. ТРЕБОВАНИЯ К ВЕРСИЯМ ИСПОЛЬЗУЕМОГО ПО .............................................................................5 2.2. ТРЕБОВАНИЯ К КОНТРОЛЛЕРУ ДОМЕНА AD ....................................................................................5 2.3. ТРЕБОВАНИЯ К УРОВНЮ ДОСТУПА В ОС ........................................................................................5 2.4. ТРЕБОВАНИЯ К РАБОЧИМ СЕРВЕРАМ СМ4: ....................................................................................5 3. ПЕРЕЧЕНЬ ПОДГОТОВИТЕЛЬНЫХ РАБОТ ПО НАСТРОЙКЕ SSO ДЛЯ СЕРВЕРОВ И КЛИЕНТСКИХ РАБОЧИХ МЕСТ ............................................................................................................................................................ 6 3.1. НАСТРОЙКА СЛУЖБ КАТАЛОГА ACTIVE DIRECTORY ..........................................................................7 3.1.1. Регистрация сервисных учетных записей ......................................................................................... 7 3.1.2. Настройка созданных учетных записей ............................................................................................. 7 3.1.3. Создание ключей службы Domino и Tomcat ......................................................................................... 8 3.1.4. Предоставление прав доступа на серверы СМ4 созданным учетным записям ........................... 9 3.2. НАСТРОЙКИ НА СЕРВЕРЕ DOMINO ..............................................................................................10 3.2.1. Настройка задачи LDAP ..................................................................................................................... 10 3.2.2. Настройка задачи HTTP: .................................................................................................................... 10 3.3. УСТАНОВКА ПЛАГИНОВ НА КЛИЕНТСКИХ РАБОЧИХ МЕСТАХ ...........................................................12 3.3.1. Функциональное назначение плагинов .............................................................................................. 12 3.3.2. Установка плагинов в автоматическом режиме с помощью средств развертывания приложений в каталоге Microsoft Active Directory ....................................................................................... 12 3.3.3. Установка плагинов в ручном режиме по запросу пользователя или силами сотрудников ТП 12 3.4. НАСТРОЙКА ВЕБ-БРАУЗЕРОВ НА КЛИЕНТСКИХ РАБОЧИХ МЕСТАХ ..................................................12 3.4.1. Настройка браузеров Internet Explorer, Google Chrome ................................................................... 12 3.4.2. Настройка браузера Mozilla Firefox ................................................................................................... 13 2 ЗАО «К ОМ П АНИ Я «И НТЕ Р Т РАСТ » Р О ССИЯ , 125319, Г. М О СКВА , УЛ . У СИЕВИЧА , 3 ТЕЛ .: (495) 956-79-28 WWW . INTERTRUST. RU 1. ОПИСАНИЕ Документ описывает требования к инфраструктуре для установки SSO и рабочих мест в CompanyMedia версии 4.1. 1.1. ПРИНЯТЫЕ СОКРАЩЕНИЯ AD – служба каталога Microsoft Active Directory DD – служба каталога IBM Domino Directory SSO – служба общего входа Single sign-on 3 ЗАО «К ОМ П АНИ Я «И НТЕ Р Т РАСТ » Р О ССИЯ , 125319, Г. М О СКВА , УЛ . У СИЕВИЧА , 3 ТЕЛ .: (495) 956-79-28 WWW . INTERTRUST. RU 1.2. АНКЕТА ГОТОВНОСТИ ИНФРАСТРУКТУРЫ Таблица 1. Анкета готовности инфраструктуры. № Наименование параметра Описание 1 Список доменов Active Directory, для которых необходима настройка SSO Для каждого домена AD указать VTC.LOCAL, 2008 наименование и InterTrust.ru, 2003 функциональный уровень 2 Версия ОС, установленная на контроллере домена Для одного контроллера домена Windows Server 2008 R2 SP2 каждого домена, подключемого в SSO Имена хостов серверов СМ4, планруемых к развертыванию Имена хостов серверов, для которых будет настроена служба SSO Указать A-записи в DNS cmt1.vtc.local 4 Права доступа пользователей на локальных рабочих станциях Есть ли у пользователей права на установку пакетов MSI с собственными учетными данными данными Локальный администратор, power user 5 Операционная система на типовой рабочей станции пользователя Указать версии используемых ОС и их разрядность Windows 7 32/64 bit Корпоративный веб-браузер Используемые версии браузеров 3 6 Пример заполнения cmt2.vtc.local Windows XP SP3 32 bit Internet Explorer 10,9 Mozilla Firefox 20 4 ЗАО «К ОМ П АНИ Я «И НТЕ Р Т РАСТ » Р О ССИЯ , 125319, Г. М О СКВА , УЛ . У СИЕВИЧА , 3 ТЕЛ .: (495) 956-79-28 WWW . INTERTRUST. RU 2. ТРЕБОВАНИЯ К ИНФРАСТ РУКТУРЕ 2.1. ТРЕБОВАНИЯ К ВЕРСИЯМ ИСПОЛЬЗУЕМОГО ПО ОС контроллера домена: Windows Server 2008 ОС сервера СМ4: Windows Server 2008 64-bit Версия Domino на сервере СМ4: Domino 8.5.3 не ниже FP1 Поддерживаемые бразуеры: IE 8,9,10, Google Chrome, Mozilla Firefox 2.2. ТРЕБОВАНИЯ К КОНТРОЛЛЕРУ ДОМЕНА AD 1) Режим работы контроллера AD: Windows Server 2008 2) Включена служба ОС Windows Kerberos Key Distribution Center 2.3. ТРЕБОВАНИЯ К УРОВНЮ ДОСТУПА В ОС 1) Доступ в ОС Windows: администратор домена AD (для выполнения разовых настроек:создания ключей служб, предоставления доступа к локальным машинам) 2) Доступ к серверам Domino: администратор с full-access, доступ к адресной книге для редактирования настроек веб-сайтов, SSO 3) Доступ в ОС серверов СМ4: доступ на уровне локального администратора, доступ на запись в каталог C:\windows (%system%) 2.4. ТРЕБОВАНИЯ К РАБОЧИМ СЕРВЕРАМ СМ4: 1) Сервер СМ4 введен в домен AD, для которого настраивается SSO 2) A-запись в DNS: имя хоста, для которого выполняются команды ниже должно являться Aзаписью в DNS (не cname) 3) Для каждой учетной записи из Active Directory: должна быть создана соответствующая учетная запись в каталоге Domino Directory, в поле krbPrincipalName в DD указано доменное имя учетной записи из Active Directory 4) Выключена настройка «Load Internet configurations from Server\Internet Sites documents» 5) Создан общий документ Configuration Settings ( с параметром «*» ) 5 ЗАО «К ОМ П АНИ Я «И НТЕ Р Т РАСТ » Р О ССИЯ , 125319, Г. М О СКВА , УЛ . У СИЕВИЧА , 3 ТЕЛ .: (495) 956-79-28 WWW . INTERTRUST. RU 3. ПЕРЕЧЕНЬ ПОДГОТОВИТЕЛЬНЫХ РАБОТ ПО НАСТРОЙКЕ SSO ДЛЯ СЕРВЕРОВ И КЛИЕНТСКИХ РАБОЧИХ МЕСТ Для включения SSO: Настройки в службе каталога Active Directory: регистрация сервисных учетных записей, создание ключей службы Tomcat, предоставление прав доступа к серверам СМ4 Настройка ОС сервера Company Media Настройка сервера Domino (для существующего сервера) Для настройки рабочих мест: Установка плагинов (автоматически или вручную по запросу) на клиентские РМ Настройка веб-браузеров на клиентских рабочих местах (добавление в Local Intranet Sites) 6 ЗАО «К ОМ П АНИ Я «И НТЕ Р Т РАСТ » Р О ССИЯ , 125319, Г. М О СКВА , УЛ . У СИЕВИЧА , 3 ТЕЛ .: (495) 956-79-28 WWW . INTERTRUST. RU 3.1. НАСТРОЙКА СЛУЖБ КАТАЛОГА ACTIVE DIRECTORY 3.1.1. Регистрация сервисных учетных записей Создать сервисные учетные записи в домене AD для каждого сервера СМ4 с SSO в контейнере «Users». Рекомендуемый формат имени: web.<dominoname>, где <dominoname> - имя сервера Domino, на котором будет настроен SSO Пример: web.cmt1@vtc.local , web.cmt2@vtc.local Важно: сервисные учетные записи регистрировать только в стандартном контейнере «Users» каталога Ad, иначе возникнут ошибки при выполнении следующих шагов. 3.1.2. Настройка созданных учетных записей 1) Установить свойства созданных в п.1 учетных записей с помощью оснастки Active Directory Users and Computers или ADSIEdit. "+" отмечены флаги, к-е необходимо включить: +user cannot change password +password never expired +шифрование AES128 2) Установить новые пароли для созданных учетных записей, например KrbPass456 Важно: тот же пароль небоходимо использовать при генерации ключей SSO в п.3.1.3 Примечание: шаг обязателен, требуется для применения п.3.1.2. 7 ЗАО «К ОМ П АНИ Я «И НТЕ Р Т РАСТ » Р О ССИЯ , 125319, Г. М О СКВА , УЛ . У СИЕВИЧА , 3 ТЕЛ .: (495) 956-79-28 WWW . INTERTRUST. RU 3.1.3. Создание ключей службы Domino и Tomcat 3.1.3.1. Создание ключей .keytab 1) запустить cmd.exe интерпретатор командной строки 2) выполнить команду создания ключей ktpass (см. п .5 ) для настраиваемых учетных записей, серверов и домена. Пример выполнения команды для учетной записи web.cmt1и сервера cmt1.vtc.local в домене VTC.LOCAL : ktpass -princ HTTP/cmt1.vtc.local@VTC.LOCAL -mapuser web.cmt1-pass KrbPass456 -crypto all ptype KRB5_NT_PRINCIPAL -out http-cmt1.keytab 3) сохранить полученные ключи (файлы *.keytab ) 4) сохранить вывод консоли в текстовый файл 3.1.3.2. описание параметров команды ktpass: ktpass -princ HTTP/<sso.hostname>@<AD.DOMAIN> -mapuser <username> -pass <password> crypto all -ptype KRB5_NT_PRINCIPAL -out <filename> , где: таблица 2. описание параметров экспорта ключей ktpass № Наименование параметра Описание Пример заполнения 1 sso.hostname Имя сервера СМ4 cmt1.vtc.local 2 AD.Domain Имя домена AD, заглавными буквами VTC.LOCAL 3 username Имя сервисной учетной записи, без доменной части web.cmt1 4 password Пароль ключа KrbPass456 5 filename Имя создаваемого файла ключей http-cmt1.keytab 8 ЗАО «К ОМ П АНИ Я «И НТЕ Р Т РАСТ » Р О ССИЯ , 125319, Г. М О СКВА , УЛ . У СИЕВИЧА , 3 ТЕЛ .: (495) 956-79-28 WWW . INTERTRUST. RU 3.1.4. 1) Предоставление прав доступа на серверы СМ4 созданным учетным записям На сервере CM4 добавить созданные учетные записи в локальных администраторов 2) Настроить запуск служб "Tomcat", "Lotus Domino Server..." и "Lotus Domino Diagnostics..." от имени сервисной учетной записи, например "web.cmt1". 3) При выборе учетной записи будет подставлена запись формата HTTP\<hostname>@vtc.local. Заменить на доменное имя пользователя: web.cmt1@vtc.local 4) убедиться, что появилось сообщение "the account has been granted the logon as a service right" 5) перезапустить службы Domino и Tomcat на сервере СМ4 9 ЗАО «К ОМ П АНИ Я «И НТЕ Р Т РАСТ » Р О ССИЯ , 125319, Г. М О СКВА , УЛ . У СИЕВИЧА , 3 ТЕЛ .: (495) 956-79-28 WWW . INTERTRUST. RU 3.2. НАСТРОЙКИ НА СЕРВЕРЕ DOMINO 3.2.1. Настройка задачи LDAP 1) В документе "Configuration Settings" для всех серверов (*) на вкладке LDAP включить настройку: DN Required on Bind? No (отвечает за формат привязки к LDAP, разрешает использование формата cn=username) 2) Проверить с помощью команды ldapsearch поиск из LDAP Domino. Поиск должен возвращать все учетные записи пользователей Domino: C:\Lotus\Notes>ldapsearch.exe -h 169.254.52.1 -D "cn=ldapuser,o=intertrust" -w "password456" -b "o=Intertrust" "(cn=*)" 3.2.2. Настройка задачи HTTP: 3) отключить настройку в док-те сервера load configuration from internet sites 4) настроить host name на вкладке HTTP : cma01.vtc.local 5) создать конфигурацию SSO для сервер-док-та аналогично скриншоту: Configuration Name: Organization: DNS Domain: Domino Server Names: Windows single sign-on integration : произвольно не заполнять .vtc.local CMT01/VTC Enabled рис. 3.1 6) Создать ключи SSO для созданной конфигурации: нажать кнопку «Create WebSSO keys» 7) Настроить вкладку Domino Web Engine аналогично рис.3.2 (Session Authentication: Multiple Servers) 8) Выбрать полученный документ LTPA Token в п Web SSO Configuration 10 ЗАО «К ОМ П АНИ Я «И НТЕ Р Т РАСТ » Р О ССИЯ , 125319, Г. М О СКВА , УЛ . У СИЕВИЧА , 3 ТЕЛ .: (495) 956-79-28 WWW . INTERTRUST. RU 9) (Проверить, создалась ли настройка LTPA Token можно в АК Domino, вид $WebSSOConfig) 11 ЗАО «К ОМ П АНИ Я «И НТЕ Р Т РАСТ » Р О ССИЯ , 125319, Г. М О СКВА , УЛ . У СИЕВИЧА , 3 ТЕЛ .: (495) 956-79-28 WWW . INTERTRUST. RU рис. 3.2 12 ЗАО «К ОМ П АНИ Я «И НТЕ Р Т РАСТ » Р О ССИЯ , 125319, Г. М О СКВА , УЛ . У СИЕВИЧА , 3 ТЕЛ .: (495) 956-79-28 WWW . INTERTRUST. RU 3.3. УСТАНОВКА ПЛАГИНОВ НА КЛИЕНТСКИХ РАБОЧИХ МЕСТАХ 3.3.1. Функциональное назначение плагинов Таблица 3. Список устанавливаемых плагинов № Плагин Функционал MSI 1 FileUploaderPlugin CMJ Загружать вложения в Систему Да 2 ScanPlugin CMJ Сканировать содержимое РКК Да 3 DidgestPlugin CMJ Формирование списка правок (дайджеста) в листах согласования Да 3.3.2. Установка плагинов в автоматическом режиме с помощью средств развертывания приложений в каталоге Microsoft Active Directory 1) Получить пакеты установки плагинов в формате MSI 2) Опубликовать с помощью средств GPO присланные файлы для новой или существующей групповой политики, назначенной пользователям СМ 3) Распространить пакеты средствами GPO 4) Выполнить проверку установки 3.3.3. Установка плагинов в ручном режиме по запросу пользователя или силами сотрудников ТП Возможно 2 режима установки: а) Установить с правами администратора или от имени пользователя набор MSI файлов на рабочих местах б) Устанавливать плагины при обращении пользователей к соответствующему функционалу (приложение файлов, сканирование, дайджест) 3.4. НАСТРОЙКА ВЕБ-БРАУЗЕРОВ НА КЛИЕНТСКИХ РАБОЧИХ МЕСТАХ 3.4.1. Настройка браузеров Internet Explorer, Google Chrome Обеспечить выполнение следующих действий вручную или с помощью политик AD: 1) сервис/свойства обозревателя/безопасность/"местная интрасеть" 2) нажать узел/дополнительно/добавить имя хоста сервера СМ4, например: "http://cmt1.vtc.local/" и выключить требование https 13 ЗАО «К ОМ П АНИ Я «И НТЕ Р Т РАСТ » Р О ССИЯ , 125319, Г. М О СКВА , УЛ . У СИЕВИЧА , 3 ТЕЛ .: (495) 956-79-28 WWW . INTERTRUST. RU 3) нажать другой: проверка подлинности пользователя/вход выбрать "автоматический вход в сеть только в зоне интрасети" 3.4.2. Настройка браузера Mozilla Firefox 1) В строке браузера ввести : about:config 2) Открыть параметр «network.negotiate-auth.trusted-uris» 3) Ввести имя хоста сервера СМ4, для которого осуществляется настройка SSO 14