Notes Federated Login

Wanderstep

Wanderstep

Lotus Team
23.03.2006
493
66
BIT
30
Кто юзает Notes Federated Login? Есть проблемы с его внедрением.
Ранее настроен и успешно работает Notes Shared Login, но поскольку с ним есть некоторые проблемы на терминале, то захотелось воспользоваться NFL.
NFL настроен в соответствии с инструкцией, авторизация через ADFS успешно заработала через web в iNotes, однако в толстом клиенте включается NSL вместо NFL (в тестовой политике специально выключил NSL и оставил только NFL). Включил расширенное логирование клиента - каких-то внятных ошибок не заметил, по причине которых NFL не мог бы включиться.
 
Wanderstep

Wanderstep

Lotus Team
23.03.2006
493
66
BIT
30
Вот по этой родимой инструкции от IBM и настраивал, отключив в явном виде NSL в политике.
Вот такая
Ссылка скрыта от гостей
есть, где всё последовательно описано. Она хоть и старая, но действия ровно те же, что и в последнем мануале IBM для 9.0.1.
В последней инструкции есть параметры по включению дебагинга на стороне сервера - опробую их, может что и покажут.

Интересно, что через web в iNotes всё работает.
 
Wanderstep

Wanderstep

Lotus Team
23.03.2006
493
66
BIT
30
Проблема эта известная, думал было, что обсуждалась здесь. Но на другом лотусовом форуме обсуждение этой проблемы можно найти по теме: "проблема с Shared Login на терминальной ферме". Ну или в глобальном интернете можно найти обсуждение также без решения проблемы.
Проблема связана с тем, что даже если ты на терминале настраиваешь клиента Lotus на использование папки Data на сетевом диске, то файл-секрет *.bin, создаваемый для работы Notes Shared Login, игнорирует все ключи в реестре и настройки клиента, и размещается в локальной папке пользователя, путь к которой описывается в глобальных переменных Windows.

Со своей же проблемой я разобрался. Я не увидел ограничений в явном виде в мануалах по Notes Federated Login, но, как выяснилось позднее, он не поддерживается basic-версией клиента Notes.
 
lmike

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 985
611
BIT
473
Wanderer сказал(а):
и размещается в локальной папке пользователя, путь к которой описывается в глобальных переменных Windows.
Нажмите, чтобы раскрыть...
а использовать не виндяцкую шару, а iSCSI?
правда, в виндяцких имплеменатциях, говорят про попаболь с iSCSI..., сам не сталкивался
с др. стороны можно
Ссылка скрыта от гостей
заюзать
 
Wanderstep

Wanderstep

Lotus Team
23.03.2006
493
66
BIT
30
Делюсь опытом: в общем, всё работает. Вплоть до беспарольного старта (без папки Data) ненастроенного клиента с автоматической авторизацией по ADFL. Внедрение прошло не без нюансов - надо обязательно откатывать технологию на тестовой зоне, чтобы отловить все возможные косяки. Так, например, беспарольный старт ненастроенного клиента на терминале приводил к крашу, если в notes.ini подавалась строка на инициирование библиотек для СЭД. Также следите, чтобы на всех серверах терминальной фермы была одна версия клиента - иначе при переходе на другой сервер клиент может крашиться, пока вы не убьете в Data подпапку workspace.
Специально для терминалок в политиках включен фильтр, не позволяющий включать NSL - работает только NFL. На остальных же машинах работает связка NSL + NFL, где NSL является основным механизмом, а NFL - резервным (кто основной, а кто резервный - зашито жестко IBM, поменять нельзя).
 
  • Нравится
Реакции: Иван Пахомов и lmike
L

Lazarus

Green Team
11.06.2020
30
3
BIT
51
Всем привет. Кто-нибудь сталкивался со странной проблемой: "Your ID file in Vault is more recent and will be downloaded"? Проявляется при включенном NFL (без него проблемы не наблюдалось, но это может быть всего лишь совпадение). Старый хэлпер IBM говорит, что "будет исправлено", но не понятно что делать и из-за чего это проявляется. Пробовали даже выгрузить id-файл из vault, удалить его в vault и юзеру дать загрузиться с файла (т.к. nfl в таком случае его не находит в хранилище). И после этого файл снова догружается в Vault и снова появляется ошибка при обращении к серверу.
Прикрепил обе версии ошибки на rus/eng клиентах. Бьёмся с этим уже не первый месяц периодами. Может кто-то смог такое вылечить или хотя бы нашёл временное лечение.
Сервера с id vault на 9-ых версиях (FP сейчас не могу глянуть), и юзеры в основном на 9.01 клиентах (некоторые на 10-ых и 11-ых), и есть ли привязка к версии клиента - не замечал, т.к. случаи довольно редкие.
 

Вложения

  • nfl_err2.JPG
    nfl_err2.JPG
    7,3 КБ · Просмотры: 49
  • nfl_err1.JPG
    nfl_err1.JPG
    14,9 КБ · Просмотры: 47
L

LitDV

Green Team
28.02.2020
23
6
BIT
60
Lazarus сказал(а):
Всем привет. Кто-нибудь сталкивался со странной проблемой: "Your ID file in Vault is more recent and will be downloaded"? Проявляется при включенном NFL (без него проблемы не наблюдалось, но это может быть всего лишь совпадение). Старый хэлпер IBM говорит, что "будет исправлено", но не понятно что делать и из-за чего это проявляется. Пробовали даже выгрузить id-файл из vault, удалить его в vault и юзеру дать загрузиться с файла (т.к. nfl в таком случае его не находит в хранилище). И после этого файл снова догружается в Vault и снова появляется ошибка при обращении к серверу.
Прикрепил обе версии ошибки на rus/eng клиентах. Бьёмся с этим уже не первый месяц периодами. Может кто-то смог такое вылечить или хотя бы нашёл временное лечение.
Сервера с id vault на 9-ых версиях (FP сейчас не могу глянуть), и юзеры в основном на 9.01 клиентах (некоторые на 10-ых и 11-ых), и есть ли привязка к версии клиента - не замечал, т.к. случаи довольно редкие.
Нажмите, чтобы раскрыть...
Ссылка скрыта от гостей

Планируйте обновление серверов
 
L

Lazarus

Green Team
11.06.2020
30
3
BIT
51
LitDV сказал(а):
Ссылка скрыта от гостей

Планируйте обновление серверов
Нажмите, чтобы раскрыть...
Я про этот хелпер и писал в вопросе. Но по нему не понятно, нужно именно версию сервера задирать, если да, то до какой? 10-й, 11-й, 12-й? Может какой-то конкретный fp. Или же как раз достаточно клиентов обновить, чтобы 9-ок не было...
Обновлять сервер без точной информации с idvauil на 7 тысяч юзеров - страшновато... Если что пойдёт не так - головы полетят.
 
savl

savl

Lotus Team
28.10.2011
2 625
314
BIT
545
Lazarus сказал(а):
Я про этот хелпер и писал в вопросе. Но по нему не понятно, нужно именно версию сервера задирать, если да, то до какой? 10-й, 11-й, 12-й? Может какой-то конкретный fp. Или же как раз достаточно клиентов обновить, чтобы 9-ок не было...
Обновлять сервер без точной информации с idvauil на 7 тысяч юзеров - страшновато... Если что пойдёт не так - головы полетят.
Нажмите, чтобы раскрыть...
В августе 21го прыгнули с серверов 901FP10, клиенты 901FP4 /853FP6 /704, до 1101FP1 - полёт нормальный был. idv был на 7к пользователей. Но NFL не используется.
Потом прыгали серверами и клиентами на 1101FP4.
Сейчас серверы 1201FP1 , клиенты без изменений.
Из всех сложностей с idv это смена пароля: пользователи если сразу после смены переоткрывают клиент, то не он не успевает доехать до валта, нужно после смены поработать минут 15-30.
После поднятия версии полететь может не столько сама работа сервера, сколько работа самописных приложений. Поэтому повышение версии обычно тестируют на отдельных серверах.
 
L

Lazarus

Green Team
11.06.2020
30
3
BIT
51
Lazarus сказал(а):
Всем привет. Кто-нибудь сталкивался со странной проблемой: "Your ID file in Vault is more recent and will be downloaded"? Проявляется при включенном NFL (без него проблемы не наблюдалось, но это может быть всего лишь совпадение). Старый хэлпер IBM говорит, что "будет исправлено", но не понятно что делать и из-за чего это проявляется. Пробовали даже выгрузить id-файл из vault, удалить его в vault и юзеру дать загрузиться с файла (т.к. nfl в таком случае его не находит в хранилище). И после этого файл снова догружается в Vault и снова появляется ошибка при обращении к серверу.
Прикрепил обе версии ошибки на rus/eng клиентах. Бьёмся с этим уже не первый месяц периодами. Может кто-то смог такое вылечить или хотя бы нашёл временное лечение.
Сервера с id vault на 9-ых версиях (FP сейчас не могу глянуть), и юзеры в основном на 9.01 клиентах (некоторые на 10-ых и 11-ых), и есть ли привязка к версии клиента - не замечал, т.к. случаи довольно редкие.
Нажмите, чтобы раскрыть...
Для инфо, если кто-то будет искать то же самое - проблема в настройке Location. Если в home server указано dns имя сервера, а не Lotus-имя сервера, то будет такая ошибка (в т.ч. и политики не будут обновляться). Сразу же после правки имени в Location - ошибка исчезает.
 
  • Нравится
Реакции: lmike и LitDV
L

Lazarus

Green Team
11.06.2020
30
3
BIT
51
Wanderstep сказал(а):
Делюсь опытом: в общем, всё работает. Вплоть до беспарольного старта (без папки Data) ненастроенного клиента с автоматической авторизацией по ADFL. Внедрение прошло не без нюансов - надо обязательно откатывать технологию на тестовой зоне, чтобы отловить все возможные косяки. Так, например, беспарольный старт ненастроенного клиента на терминале приводил к крашу, если в notes.ini подавалась строка на инициирование библиотек для СЭД. Также следите, чтобы на всех серверах терминальной фермы была одна версия клиента - иначе при переходе на другой сервер клиент может крашиться, пока вы не убьете в Data подпапку workspace.
Специально для терминалок в политиках включен фильтр, не позволяющий включать NSL - работает только NFL. На остальных же машинах работает связка NSL + NFL, где NSL является основным механизмом, а NFL - резервным (кто основной, а кто резервный - зашито жестко IBM, поменять нельзя).
Нажмите, чтобы раскрыть...
Привет. Как боретесь с обновлением сертификата в ADFS? По сути, когда у них обновляется сертификат, то достаточно загрузить снова FederationMetadata, импортнуть в idp настройку, и ребутнуть сервер. Иначе клиенты не могут авторизоваться. Админы ADFS, говорят, что ручками у себя в конкретную дату обновлять не могут (как и автоматом), и каждый год это прям рандомное время (в рамках двух недель, может в любой из них, хоть утром, хоть вечером).

Кто-нибудь находил решение или костыль какой?
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ