SÉCURISATION
Pourquoi et quand exécuter cette tâche
L'administrateur Active Directory effectue les étapes suivantes :
Remarque : Si vous avez eu recours à l'utilitaire domspnego.cmd, ce dernier a généré un fichier de commandes de sortie contenant des suggestions de commandes setspn que l'administrateur Active Directory peut utiliser pour définir les noms principaux de service.
Procédure
1. Vérifiez que le serveur IBM® Domino dispose d'une configuration DNS (Domain Name System) valide. Par exemple :
nslookup nom_domaine_qualifié_complet_service
Saisissez la commande suivante afin de vérifier que le DNS peut obtenir le nom qualifié complet du service Domino :
nslookup adresse-IP_serveur_domino
Remarque : Vous pouvez accéder à votre serveur Domino à l'aide d'un alias DNS. Dans ce cas, vous devez définir un nom principal de service pour l'alias. La fin de cette rubrique fournit des informations supplémentaires à ce sujet.
3. Exécutez la commande suivante pour définir chaque nom d'hôte DNS que vous avez enregistré dans la procédure précédente en tant que nom principal de service dans le compte Active Directory de votre choix. Spécifiez HTTP/ y compris pour les adresses URL de type HTTPS.
où
nom_DNS correspond à un nom d'hôte DNS enregistré à l'étape précédente, et
nom de compte est le compte que le serveur Domino utilise lors de la connexion du service Domino Windows. Si vous utilisez le compte Système local, le nom du compte est le nom simple de l'ordinateur sur lequel Domino est exécuté, par exemple domino1.
Remarque : Affectez un nom principal de service spécifique à un seul compte. La connexion unique Windows pour les clients Web ne fonctionne pas si un seul nom principal de service est affecté à plusieurs comptes.
Pour supprimer un nom principal de service sur un compte, utilisez la commande setspn avec le commutateur -d au lieu du commutateur -a. Par exemple, vous pouvez le faire pour supprimer un nom principal de service sur un compte avant de l'affecter à un autre compte. N'oubliez pas qu'un nom principal de service ne peut être affecté qu'à un seul compte.
Détermination de l'accès à votre serveur Domino à l'aide d'un alias DNS
Vous pouvez accéder à votre serveur Domino à l'aide d'un alias. Un enregistrement CNAME (nom canonique) dans DNS peut définir un alias. Dans certains cas, le navigateur du client peut utiliser DNS pour convertir un alias CNAME en nom d'hôte lors de la définition du nom principal de service pour lequel un service Kerberos est demandé. Dans ce cas, un nom principal de service doit être défini pour le nom d'hôte représenté par l'alias.
Pour rechercher les paramètres DNS correspondant aux alias utilisés pour votre serveur Domino, utilisez la commande nslookup en mode interactif avec des paramètres de débogage (set d2) au niveau de l'invite de commande. Par exemple, pour obtenir des informations sur le DNS contenant le nom d'hôte dérivé de l'alias www.audimatique.com, entrez :
C:\>nslookup
> set d2
> www.audimatique.com
Si le résultat de la commande nslookup identifie www.audimatique.com comme un alias CNAME pour le nom d'hôte server3.ad.east.audimatique.com, vous devez disposer d'un nom principal de service pour HTTP/server3.ad.east.audimatique.com.
Concepts associés Affectation de noms principaux de service à l'aide de l'utilitaire domspnego
Tâches associées Vérification de la connexion du serveur Domino au moyen du compte approprié Configuration du service Windows pour Domino
Référence associée Exemples de choix de comptes et de noms principaux de service
Information associée Dépannage de la connexion unique Windows pour les clients Web