SÉCURISATION
L'utilisation d'un compte Windows™ nommé est une pratique d'excellence lorsque vous affectez des noms principaux de service, mais certains cas de figure ne l'exigent pas. Les exemples ci-dessous illustrent l'utilisation de la commande setspn et présentent les choix viables pour l'utilisation du compte.
Site Web géré par plusieurs serveurs Domino à l'aide d'un répartiteur de charge
Si votre environnement de connexion unique est un site Web doté d'un répartiteur de charge qui distribue les demandes de connexion vers plusieurs serveurs Domino, vous devez définir des noms principaux de service dans un compte nommé sous Active Directory. Tous les serveurs Domino se connectent à ce même compte en tant que service Windows et non à des comptes Système local individuels. Par exemple, supposez qu'un document Site Web soit configuré de la façon suivante :
setspn -a HTTP/repartiteurdecharge.audimatique.com ssorenovations
setspn -a HTTP/domino1.ad.audimatique.com ssorenovations
setspn -a HTTP/domino2.ad.audimatique.com ssorenovations
Les utilisateurs Web connectés au domaine Active Directory ne sont pas invités à saisir de mot de passe pour accéder à Domino1/Renovations ou Domino2/Renovations par le biais d'adresses URL HTTP ou HTTPS contenant l'un des noms DNS suivants :
repartiteurdecharge.audimatique.com
domino1.ad.audimatique.com
domino2.ad.audimatique.com
Site Web géré par un seul serveur Domino
Si vous disposez d'un site Web géré par un seul serveur Domino, vous pouvez définir des noms principaux de service soit dans un compte nommé, soit dans un compte Système local. Par exemple, supposez qu'un document Site Web soit configuré de la façon suivante :
setspn -a HTTP/www.sso1.audimatique.com domino1
setspn -a HTTP/www.sso2.audimatique.com domino1
Les utilisateurs Web connectés au domaine Active Directory ne sont pas invités à saisir de mot de passe pour accéder au serveur Domino1/Renovations par le biais d'adresses URL de type HTTP ou HTTPS contenant www.sso1.audimatique.com ou www.sso2.audimatique.com.
Site Web géré par plusieurs serveurs Domino ne partageant pas de noms DNS dans les adresses URL
Si vous disposez d'un site Web géré par plusieurs serveurs Domino qui ne partagent pas de noms DNS dans les adresses URL, vous pouvez définir :
setspn -a HTTP/domino1.ad.audimatique.com domino1
setspn -a HTTP/domino2.ad.audimatique.com domino2
Les utilisateurs Web connectés au domaine Active Directory ne sont pas invités à saisir de mot de passe pour accéder au serveur Domino1/Renovations par le biais d'adresses URL qui contiennent domino1.ad.audimatique.com ou pour accéder au serveur Domino2/Renovations par l'intermédiaire de domino2.ad.audimatique.com.
Configuration de la connexion unique utilisant des documents Serveur
Si la configuration de votre connexion unique utilise des documents Serveur plutôt que des documents Site Web, vous pouvez utiliser :
setspn -a HTTP/domino3.ad.audimatique.com domino3
Les clients Web ne sont pas invités à saisir de mot de passe pour accéder aux adresses URL de type HTTP ou HTTPS qui contiennent domino1.ad.audimatique.com lorsque domino1 est connecté par le biais du compte Système local. Les adresses URL qui contiennent domino2.ad.renovations ou domino3.ad.renovations fonctionnent de la même façon.
Tâches associées Affectation de noms principaux de service à l'aide de l'utilitaire setspn Configuration du service Windows pour Domino Configuration de la connexion unique Windows pour les clients Web
Information associée Dépannage de la connexion unique Windows pour les clients Web