Notes Federated Login

Wanderstep

Lotus Team
23.03.2006
493
66
BIT
25
Кто юзает Notes Federated Login? Есть проблемы с его внедрением.
Ранее настроен и успешно работает Notes Shared Login, но поскольку с ним есть некоторые проблемы на терминале, то захотелось воспользоваться NFL.
NFL настроен в соответствии с инструкцией, авторизация через ADFS успешно заработала через web в iNotes, однако в толстом клиенте включается NSL вместо NFL (в тестовой политике специально выключил NSL и оставил только NFL). Включил расширенное логирование клиента - каких-то внятных ошибок не заметил, по причине которых NFL не мог бы включиться.
 

Wanderstep

Lotus Team
23.03.2006
493
66
BIT
25
Вот по этой родимой инструкции от IBM и настраивал, отключив в явном виде NSL в политике.
Вот такая есть, где всё последовательно описано. Она хоть и старая, но действия ровно те же, что и в последнем мануале IBM для 9.0.1.
В последней инструкции есть параметры по включению дебагинга на стороне сервера - опробую их, может что и покажут.

Интересно, что через web в iNotes всё работает.
 

Wanderstep

Lotus Team
23.03.2006
493
66
BIT
25
Проблема эта известная, думал было, что обсуждалась здесь. Но на другом лотусовом форуме обсуждение этой проблемы можно найти по теме: "проблема с Shared Login на терминальной ферме". Ну или в глобальном интернете можно найти обсуждение также без решения проблемы.
Проблема связана с тем, что даже если ты на терминале настраиваешь клиента Lotus на использование папки Data на сетевом диске, то файл-секрет *.bin, создаваемый для работы Notes Shared Login, игнорирует все ключи в реестре и настройки клиента, и размещается в локальной папке пользователя, путь к которой описывается в глобальных переменных Windows.

Со своей же проблемой я разобрался. Я не увидел ограничений в явном виде в мануалах по Notes Federated Login, но, как выяснилось позднее, он не поддерживается basic-версией клиента Notes.
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 981
611
BIT
439
и размещается в локальной папке пользователя, путь к которой описывается в глобальных переменных Windows.
а использовать не виндяцкую шару, а iSCSI?
правда, в виндяцких имплеменатциях, говорят про попаболь с iSCSI..., сам не сталкивался
с др. стороны можно заюзать
 

Wanderstep

Lotus Team
23.03.2006
493
66
BIT
25
Делюсь опытом: в общем, всё работает. Вплоть до беспарольного старта (без папки Data) ненастроенного клиента с автоматической авторизацией по ADFL. Внедрение прошло не без нюансов - надо обязательно откатывать технологию на тестовой зоне, чтобы отловить все возможные косяки. Так, например, беспарольный старт ненастроенного клиента на терминале приводил к крашу, если в notes.ini подавалась строка на инициирование библиотек для СЭД. Также следите, чтобы на всех серверах терминальной фермы была одна версия клиента - иначе при переходе на другой сервер клиент может крашиться, пока вы не убьете в Data подпапку workspace.
Специально для терминалок в политиках включен фильтр, не позволяющий включать NSL - работает только NFL. На остальных же машинах работает связка NSL + NFL, где NSL является основным механизмом, а NFL - резервным (кто основной, а кто резервный - зашито жестко IBM, поменять нельзя).
 

Lazarus

Green Team
11.06.2020
30
3
BIT
51
Всем привет. Кто-нибудь сталкивался со странной проблемой: "Your ID file in Vault is more recent and will be downloaded"? Проявляется при включенном NFL (без него проблемы не наблюдалось, но это может быть всего лишь совпадение). Старый хэлпер IBM говорит, что "будет исправлено", но не понятно что делать и из-за чего это проявляется. Пробовали даже выгрузить id-файл из vault, удалить его в vault и юзеру дать загрузиться с файла (т.к. nfl в таком случае его не находит в хранилище). И после этого файл снова догружается в Vault и снова появляется ошибка при обращении к серверу.
Прикрепил обе версии ошибки на rus/eng клиентах. Бьёмся с этим уже не первый месяц периодами. Может кто-то смог такое вылечить или хотя бы нашёл временное лечение.
Сервера с id vault на 9-ых версиях (FP сейчас не могу глянуть), и юзеры в основном на 9.01 клиентах (некоторые на 10-ых и 11-ых), и есть ли привязка к версии клиента - не замечал, т.к. случаи довольно редкие.
 

Вложения

  • nfl_err2.JPG
    nfl_err2.JPG
    7,3 КБ · Просмотры: 41
  • nfl_err1.JPG
    nfl_err1.JPG
    14,9 КБ · Просмотры: 40

LitDV

Green Team
28.02.2020
22
5
BIT
58
Всем привет. Кто-нибудь сталкивался со странной проблемой: "Your ID file in Vault is more recent and will be downloaded"? Проявляется при включенном NFL (без него проблемы не наблюдалось, но это может быть всего лишь совпадение). Старый хэлпер IBM говорит, что "будет исправлено", но не понятно что делать и из-за чего это проявляется. Пробовали даже выгрузить id-файл из vault, удалить его в vault и юзеру дать загрузиться с файла (т.к. nfl в таком случае его не находит в хранилище). И после этого файл снова догружается в Vault и снова появляется ошибка при обращении к серверу.
Прикрепил обе версии ошибки на rus/eng клиентах. Бьёмся с этим уже не первый месяц периодами. Может кто-то смог такое вылечить или хотя бы нашёл временное лечение.
Сервера с id vault на 9-ых версиях (FP сейчас не могу глянуть), и юзеры в основном на 9.01 клиентах (некоторые на 10-ых и 11-ых), и есть ли привязка к версии клиента - не замечал, т.к. случаи довольно редкие.

Планируйте обновление серверов
 

Lazarus

Green Team
11.06.2020
30
3
BIT
51

Планируйте обновление серверов
Я про этот хелпер и писал в вопросе. Но по нему не понятно, нужно именно версию сервера задирать, если да, то до какой? 10-й, 11-й, 12-й? Может какой-то конкретный fp. Или же как раз достаточно клиентов обновить, чтобы 9-ок не было...
Обновлять сервер без точной информации с idvauil на 7 тысяч юзеров - страшновато... Если что пойдёт не так - головы полетят.
 

savl

Lotus Team
28.10.2011
2 624
314
BIT
507
Я про этот хелпер и писал в вопросе. Но по нему не понятно, нужно именно версию сервера задирать, если да, то до какой? 10-й, 11-й, 12-й? Может какой-то конкретный fp. Или же как раз достаточно клиентов обновить, чтобы 9-ок не было...
Обновлять сервер без точной информации с idvauil на 7 тысяч юзеров - страшновато... Если что пойдёт не так - головы полетят.
В августе 21го прыгнули с серверов 901FP10, клиенты 901FP4 /853FP6 /704, до 1101FP1 - полёт нормальный был. idv был на 7к пользователей. Но NFL не используется.
Потом прыгали серверами и клиентами на 1101FP4.
Сейчас серверы 1201FP1 , клиенты без изменений.
Из всех сложностей с idv это смена пароля: пользователи если сразу после смены переоткрывают клиент, то не он не успевает доехать до валта, нужно после смены поработать минут 15-30.
После поднятия версии полететь может не столько сама работа сервера, сколько работа самописных приложений. Поэтому повышение версии обычно тестируют на отдельных серверах.
 

Lazarus

Green Team
11.06.2020
30
3
BIT
51
Всем привет. Кто-нибудь сталкивался со странной проблемой: "Your ID file in Vault is more recent and will be downloaded"? Проявляется при включенном NFL (без него проблемы не наблюдалось, но это может быть всего лишь совпадение). Старый хэлпер IBM говорит, что "будет исправлено", но не понятно что делать и из-за чего это проявляется. Пробовали даже выгрузить id-файл из vault, удалить его в vault и юзеру дать загрузиться с файла (т.к. nfl в таком случае его не находит в хранилище). И после этого файл снова догружается в Vault и снова появляется ошибка при обращении к серверу.
Прикрепил обе версии ошибки на rus/eng клиентах. Бьёмся с этим уже не первый месяц периодами. Может кто-то смог такое вылечить или хотя бы нашёл временное лечение.
Сервера с id vault на 9-ых версиях (FP сейчас не могу глянуть), и юзеры в основном на 9.01 клиентах (некоторые на 10-ых и 11-ых), и есть ли привязка к версии клиента - не замечал, т.к. случаи довольно редкие.
Для инфо, если кто-то будет искать то же самое - проблема в настройке Location. Если в home server указано dns имя сервера, а не Lotus-имя сервера, то будет такая ошибка (в т.ч. и политики не будут обновляться). Сразу же после правки имени в Location - ошибка исчезает.
 
  • Нравится
Реакции: lmike и LitDV

Lazarus

Green Team
11.06.2020
30
3
BIT
51
Делюсь опытом: в общем, всё работает. Вплоть до беспарольного старта (без папки Data) ненастроенного клиента с автоматической авторизацией по ADFL. Внедрение прошло не без нюансов - надо обязательно откатывать технологию на тестовой зоне, чтобы отловить все возможные косяки. Так, например, беспарольный старт ненастроенного клиента на терминале приводил к крашу, если в notes.ini подавалась строка на инициирование библиотек для СЭД. Также следите, чтобы на всех серверах терминальной фермы была одна версия клиента - иначе при переходе на другой сервер клиент может крашиться, пока вы не убьете в Data подпапку workspace.
Специально для терминалок в политиках включен фильтр, не позволяющий включать NSL - работает только NFL. На остальных же машинах работает связка NSL + NFL, где NSL является основным механизмом, а NFL - резервным (кто основной, а кто резервный - зашито жестко IBM, поменять нельзя).
Привет. Как боретесь с обновлением сертификата в ADFS? По сути, когда у них обновляется сертификат, то достаточно загрузить снова FederationMetadata, импортнуть в idp настройку, и ребутнуть сервер. Иначе клиенты не могут авторизоваться. Админы ADFS, говорят, что ручками у себя в конкретную дату обновлять не могут (как и автоматом), и каждый год это прям рандомное время (в рамках двух недель, может в любой из них, хоть утром, хоть вечером).

Кто-нибудь находил решение или костыль какой?
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!