SÉCURISATION
La mise en cache du nouveau mot de passe utilisateur permet au serveur HTTP de reconnaître immédiatement le nouveau mot de passe Internet de l'utilisateur et de l'accepter pour la connexion même si les informations de modification de mot de passe ne sont pas encore complètement répliquées dans l'environnement Domino.
Les modifications de mot de passe peuvent désormais être mises en cache si le serveur HTTP est configuré pour la connexion unique. Cela signifie qu'un utilisateur peut se connecter à un environnement de connexion unique, modifier son mot de passe Internet, se déconnecter et se reconnecter en utilisant le nouveau mot de passe Internet alors que la modification est en cours de réplication dans l'ensemble du système.
Emplacement et durée de la mise en cache
Comme dans les versions précédentes, le nouveau mot de passe Internet mis en cache de l'utilisateur est stocké sur le serveur HTTP uniquement à l'emplacement où la demande de modification du mot de passe a été adressée. Les autres serveurs de l'environnement de connexion unique n'ont pas accès à ces informations mises en cache ; ainsi, lorsque l'utilisateur est invité à entrer un mot de passe par un de ces serveurs, l'ancien mot de passe peut être requis, plutôt que le nouveau. Sur les serveurs n'ayant pas accès aux informations mises en cache, l'utilisateur doit fournir le mot de passe correspondant aux informations de mot de passe trouvées par le serveur dans l'annuaire.
Notez que dans le cas des utilisateurs de connexion unique, la connexion initiale donne accès à l'ensemble de l'environnement de connexion unique. Les utilisateurs ne rencontrent ainsi aucun problème si toutes les opérations de connexion sont effectuées en permanence sur le serveur ayant mis en cache le nouveau mot de passe. L'utilisateur peut tenter d'accéder à une URL sur le serveur cible et être invité à entrer un mot de passe par ce serveur plutôt que de choisir de fournir un mot de passe à un serveur n'ayant pas accès au nouveau mot de passe mis en cache.
Le nouveau mot de passe Internet mis en cache est, par défaut, pris en compte par le serveur HTTP pendant 48 heures. Vous pouvez configurer la durée de la mise en cache des informations à l'aide du paramètre HTTP_PWD_CHANGE_CACHE_HOURS du fichier NOTES.INI . Lorsque le délai d'attente de ces informations est dépassé dans le cache, l'utilisateur peut alors uniquement se connecter à l'aide du mot de passe correspondant aux informations de mot de passe trouvées par le serveur dans l'annuaire Domino.
Remarque : En cas de redémarrage du serveur HTTP, les informations de mot de passe mises en cache sont supprimées. Là encore, l'utilisateur doit fournir le mot de passe correspondant aux informations de mot de passe trouvées par le serveur dans l'annuaire Domino.
Mise en cache de mot de passe et nom de connexion de connexion unique
Le nouveau mot de passe peut être utilisé uniquement si le serveur HTTP trouve l'utilisateur dans son cache. Afin que le nouveau mot de passe Internet mis en cache fonctionne, l'utilisateur doit se connecter en utilisant un nom d'utilisateur identique à celui utilisé précédemment. Par exemple, s'il était connecté en tant que "Jean Dubois" lors de la modification du mot de passe, il ne peut pas se connecter ultérieurement avec le nouveau mot de passe et un autre nom d'utilisateur valide tel que "jdubois". L'utilisateur doit se connecter avec le nouveau mot de passe et le nom d'utilisateur "Jean Dubois" comme précédemment.
Guide des procédures pour la mise en cache de mot de passe pour la connexion unique
Pour un résultat optimal, demandez aux utilisateurs de suivre les étapes suivantes :
1. Se connecter à un serveur HTTP Domino prenant en charge la mise en cache des mots de passe pour la connexion unique.
2. Soumettre la demande de modification du mot de passe Internet en appelant l'URL ChangePassword sur le serveur. Par exemple :
L'application de la modification du mot de passe à l'ensemble des serveurs de l'environnement de connexion unique peut prendre un certain temps. En attendant, les utilisateurs doivent toujours se connecter en premier au serveur à partir duquel ils ont adressé la demande de modification de mot de passe, en utilisant le même nom d'utilisateur que précédemment et en fournissant le nouveau mot de passe.
Si, pour une raison quelconque, le nouveau mot de passe d'un utilisateur n'est pas accepté sur le serveur à partir duquel la demande a été adressée, l'utilisateur doit réessayer de se connecter en utilisant le nouveau mot de passe et son nom d'utilisateur au format de nom distinctif (par exemple, Jean Dubois/MaSociété).
Résolution des problèmes liés à la mise en cache de mot de passe Internet pour la connexion unique
La liste suivante décrit certains problèmes courants liés à la configuration et à l'utilisation de la mise en cache de mot de passe Internet dans un environnement de connexion unique.
Lorsque l'utilisateur modifie son mot de passe sur le deuxième serveur, ce dernier met en cache le nouveau mot de passe Internet de l'utilisateur. Dans ce cas, le serveur ne dispose pas du nom de connexion de l'utilisateur du fait que ce dernier s'est initialement connecté sur un autre serveur. Le deuxième serveur mémorise le nouveau mot de passe mais mémorise également que ce dernier s'applique à l'utilisateur portant le nom distinctif Domino correspondant. Si l'utilisateur se déconnecte et souhaite plus tard se connecter directement à ce serveur à l'aide du nouveau mot de passe Internet, il doit alors fournir son nom distinctif (par exemple, Jean Dubois/MaSociété).
Remarque : Les informations concernant la modification du mot de passe et le nouveau mot de passe requis ne sont transmises à aucune bibliothèque DSAPI, et bien qu'une telle modification affecte les informations de l'annuaire Domino pour l'utilisateur en question, elle ne modifie pas la manière dont la bibliothèque DSAPI interprète le mot de passe de l'utilisateur.
Lorsque l'utilisateur adresse une demande de modification de mot de passe, le serveur HTTP met en cache le nouveau mot de passe Internet de l'utilisateur en question en utilisant le nom dont il dispose pour cet utilisateur. Si l'utilisateur se déconnecte et souhaite se connecter ultérieurement avec le nouveau mot de passe à une URL du serveur non associée à la bibliothèque DSAPI, le serveur HTTP tente alors de vérifier le nom et le mot de passe utilisateur. Si la modification du mot de passe dans l'annuaire est toujours en attente, le serveur HTTP peut uniquement vérifier le nouveau mot de passe de l'utilisateur s'il est présent dans le cache. Afin que le serveur puisse le trouver dans le cache, l'utilisateur doit fournir le nom correspondant au nom stocké dans le cache, à savoir le nom transmis par la bibliothèque DSAPI (par exemple, "CN=Jean Dubois/O=MaSociété".