SÉCURISATION

Activation de l'authentification intégrée Windows pour les clients basés sur Eclipse(IWA)
L'authentification Windows™ intégrée (IWA) est disponible pour les applications client fournies et tierces basées sur Eclipse, et active l'authentification SPNEGO pour les fonctions et les applications basées sur Eclipse dans un client Notes. Il s'agit, par exemple, de Widgets, de texte actif, de flux, de connexions IBM®, d'applications composites, IBM Sametime imbriqué et Symphony imbriqué. IWA fonctionne également avec les produits basés sur Eclipse mais non imbriqués dans Notes, tels qu'IBM WebSphere Portal avec SiteMinder et Connections 3.0 autonome avec SiteMinder.

Remarque : IWA ne peut pas être utilisé comme mécanisme d'authentification au démarrage d'un client Notes.

IWA est un protocole d'authentification qui permet aux utilisateurs d'effectuer une connexion unique à l'aide des données d'identification Windows de l'utilisateur connecté. SPNEGO est l'un des mécanismes IWA qui permettent au client et au serveur de négocier le protocole d'authentification à utiliser. Ces protocoles sont limités à NT Lan Manager (NTLM) et à Kerberos. La prise en charge de la gestion des sessions est fournie par les cookies HTTP.

L'administrateur Domino peut utiliser une politique de paramètres de sécurité en vue d'indiquer la prise en charge pour IWA, ou de créer un compte de type OS-CRED et d'appliquer le compte aux utilisateurs du client, par politique.

Pour activer IWA dans la politique de sécurité :

1. Dans l'annuaire Domino, créez ou modifiez un document de politique de paramètres de sécurité existant (la conception NAMES.NSF 8.5.3 est requise).

2. Dans l'onglet Gestion de mot de passe, sélectionnez Oui pour le champActiver la connexion unique Windows pour le client Notes Standard.

Remarque : Cette option est prise en charge par l'activation de l'authentification IWA dans la politique des paramètres de sécurité uniquement dans le navigateur et la couche réseau pour des composants tels que les flux et les widgets. Par exemple, si le catalogue de widgets se trouve sur un site protégé par SPNEGO et que l'utilisateur du client accède au catalogue via le navigateur imbriqué, l'utilisateur peut s'authentifier auprès du catalogue sans avoir un compte.

La création d'un compte OS-CRED pour un utilisateur client active automatiquement IWA pour l'intégralité du client Notes. Les comptes spécifiques aux applications, tels qu'IBM Sametime et IBM Connections peuvent également prendre le type OS-CRED.

IWA peut également fonctionner avec les comptes TAM-SPNEGO. Les utilisateurs ayant un type de compte TAM-SPNEGO peuvent les adapter pour utiliser la nouvelle prise en charge SPNEGO compatible avec IWA à l'aide du fichier plugin_customization.ini du client.

Remarque : Ce fichier se trouve généralement dans le sous-répertoireframework\rcp du répertoirerép_install_Notes, par exemple :

Program Files\IBM\\Notes\framework\rcp\plugin_customization.ini

Avant l'installation ou la mise à niveau de Notes, le fichier réside dans le sous-répertoire de déploiement du kit d'installation Notes.

Ajoutez les instructions suivantes pour indiquer que tous les comptes TAM-SPNEGO existants utilisent une authentification OS-CRED :

com.ibm.rcp.accounts/replace.tam.spnego=true

Remarque : Il n'existe aucune politique Domino particulière pour ce paramètre, laquelle est principalement utilisée par Sametime. A la place du fichier plugin_customization.ini vous pouvez appliquer le paramètre à l'aide de l'onglet Paramètres personnalisés du document de politique des paramètres de bureau Domino afin de définir un nom personnalisé sous forme de valeur/paire. Pour plus d'informations sur l'application des paramètres de préférence Eclipse à l'aide d'une politique, reportez-vous aux rubriques connexes.

La fonction OS-CRED SPNEGO n'est pas automatiquement activée. Pour l'activer, créez un compte de type OS-CRED à l'aide des méthodes d'interface utilisateur des préférences administrateur ou client Domino ou définissez une préférence de plateforme en ajoutant l'instruction suivante au fichier plugin_customization.ini du client :

com.ibm.rcp.net.http/enable.spnego=true

Cette fonction est disponible pour l'application de barre d'options latérale Activités. Comme pour la configuration des Comptes, la configuration des Connexions fournit des 'Informations du système d'exploitation' comme type d'authentification lors de la configuration des préférences client. Elle est également prise en charge lorsque la configuration des Connexions est fournie dans le fichier plugin_customization.ini du client comme suit :

com.ibm.lconn.client.base/server=Connections_server_namecom.ibm.lconn.client.base/authtype=OS-CRED

Si des problèmes surviennent au cours de l'authentification SPNEGO, vous pouvez activer les paramètres suivants pour la consignation de niveau Eclipse dans le fichierrcpinstall.properties. Cela fournit la sortie de journal à partir de la machine virtuelle Java et de Notes vers le fichier journal utilisé par votre système client ; par défaut, il s'agit du fichier C:\Program Files\IBM\Notes\Data\workspace\logs.

com.ibm.rcp.accounts.level=FINESTcom.ibm.rcp.net.http.level=FINESTcom.ibm.rcp.security.spnego.level=FINEST

Tenez compte des considérations et limites suivantes lorsque vous utilisez l'authentification Windows intégrée (IWA) avec les clients Eclipse :


Concepts associés
Configuration des paramètres administratifs pour le déploiement des plug-ins Eclipse
Utilisation des préférences Eclipse pour vérifier l'accréditation

Tâches associées
Assignation des paramètres préférentiels Eclipse à l'aide d'une politique de bureau
Utilisation des comptes d'administration pour gérer les plug-ins client