Notes Federated Login

[Wanderstep]

Кто юзает Notes Federated Login? Есть проблемы с его внедрением.
Ранее настроен и успешно работает Notes Shared Login, но поскольку с ним есть некоторые проблемы на терминале, то захотелось воспользоваться NFL.
NFL настроен в соответствии с инструкцией, авторизация через ADFS успешно заработала через web в iNotes, однако в толстом клиенте включается NSL вместо NFL (в тестовой политике специально выключил NSL и оставил только NFL). Включил расширенное логирование клиента - каких-то внятных ошибок не заметил, по причине которых NFL не мог бы включиться.

 

[Domino-Designer]

NFL настроен в соответствии с инструкцией

Какой из них?

Ссылка скрыта от гостей

 

[Wanderstep]

Вот по этой родимой инструкции от IBM и настраивал, отключив в явном виде NSL в политике.
Вот такая

Ссылка скрыта от гостей

есть, где всё последовательно описано. Она хоть и старая, но действия ровно те же, что и в последнем мануале IBM для 9.0.1.
В последней инструкции есть параметры по включению дебагинга на стороне сервера - опробую их, может что и покажут.

Интересно, что через web в iNotes всё работает.

 

[lmike]

с ним есть некоторые проблемы на терминале

могли бы описать? В копилку знаний будет полезно

 

[Wanderstep]

Проблема эта известная, думал было, что обсуждалась здесь. Но на другом лотусовом форуме обсуждение этой проблемы можно найти по теме: "проблема с Shared Login на терминальной ферме". Ну или в глобальном интернете можно найти обсуждение также без решения проблемы.
Проблема связана с тем, что даже если ты на терминале настраиваешь клиента Lotus на использование папки Data на сетевом диске, то файл-секрет *.bin, создаваемый для работы Notes Shared Login, игнорирует все ключи в реестре и настройки клиента, и размещается в локальной папке пользователя, путь к которой описывается в глобальных переменных Windows.

Со своей же проблемой я разобрался. Я не увидел ограничений в явном виде в мануалах по Notes Federated Login, но, как выяснилось позднее, он не поддерживается basic-версией клиента Notes.

 

[lmike]

и размещается в локальной папке пользователя, путь к которой описывается в глобальных переменных Windows.

а использовать не виндяцкую шару, а iSCSI?
правда, в виндяцких имплеменатциях, говорят про попаболь с iSCSI..., сам не сталкивался
с др. стороны можно

Ссылка скрыта от гостей

заюзать

 

[Wanderstep]

Делюсь опытом: в общем, всё работает. Вплоть до беспарольного старта (без папки Data) ненастроенного клиента с автоматической авторизацией по ADFL. Внедрение прошло не без нюансов - надо обязательно откатывать технологию на тестовой зоне, чтобы отловить все возможные косяки. Так, например, беспарольный старт ненастроенного клиента на терминале приводил к крашу, если в notes.ini подавалась строка на инициирование библиотек для СЭД. Также следите, чтобы на всех серверах терминальной фермы была одна версия клиента - иначе при переходе на другой сервер клиент может крашиться, пока вы не убьете в Data подпапку workspace.
Специально для терминалок в политиках включен фильтр, не позволяющий включать NSL - работает только NFL. На остальных же машинах работает связка NSL + NFL, где NSL является основным механизмом, а NFL - резервным (кто основной, а кто резервный - зашито жестко IBM, поменять нельзя).

 

[Lazarus]

Всем привет. Кто-нибудь сталкивался со странной проблемой: "Your ID file in Vault is more recent and will be downloaded"? Проявляется при включенном NFL (без него проблемы не наблюдалось, но это может быть всего лишь совпадение). Старый хэлпер IBM говорит, что "будет исправлено", но не понятно что делать и из-за чего это проявляется. Пробовали даже выгрузить id-файл из vault, удалить его в vault и юзеру дать загрузиться с файла (т.к. nfl в таком случае его не находит в хранилище). И после этого файл снова догружается в Vault и снова появляется ошибка при обращении к серверу.
Прикрепил обе версии ошибки на rus/eng клиентах. Бьёмся с этим уже не первый месяц периодами. Может кто-то смог такое вылечить или хотя бы нашёл временное лечение.
Сервера с id vault на 9-ых версиях (FP сейчас не могу глянуть), и юзеры в основном на 9.01 клиентах (некоторые на 10-ых и 11-ых), и есть ли привязка к версии клиента - не замечал, т.к. случаи довольно редкие.