按照IBM文档配置Web SSO,并在服务器文档中启用SSO后,控制台中发现如下报错:
SSO API> *** Retrieving Extra Token Info (SECTokenValidateAndGetTokenInfo) ***
SSO API> ConfigName specified [SSO20110111].
SSO API> Retrieved global static cache memory for config [SSO20110111].
SSO API> Decoding Domino style Single Sign-On token.
SSO API> Dumping memory of encoded token [344 bytes].
00000000: 4343 4B30 6844 4465 4446 7236 7349 7938 'CCK0hDDeDFr6sIy8'
......(省略)
00000150: 7336 5463 4441 3D3D 's6TcDA=='
SSO API> Dumping memory of decoded token [256 bytes].
00000000: 0822 B484 30DE 0C5A FAB0 8CBC 66BD FE01 '."4.0^.Zz0.<f=~.'
......(省略)
000000F0: F2A6 CAF2 0D18 A13B F6A4 A90A B3A4 DC0C 'r&Jr..!;v$).3$\.'
SSO API> Token does not lead with 0 [Single Sign-On token is invalid].
SSO API> ERROR: when decoding token [Single Sign-On token is invalid].
通过HttpWatch观察到Token能够生成,重新建立SSO配置文档仍然不行,不知道问题出在哪。
请教各位。
------解决方案--------------------
你这个sso是who跟who的sso啊?多个domino的sso?生成key的时候提示正确了吗?
还有可信服务器名称填写了吗?
------解决方案--------------------
看中文吧
产品:Lotus Domino
平台:AIX, HP-UX, i5/OS, Linux, Solaris, Windows, z/OS
软件版本:6.5, 6.0
问题描述:
在 Lotus Domino 服务器上,将导入的 LTPA 令牌用于配置单点登陆(SSO)功能后,您在服务器控制台上看到以下信息:
"Your connection has expired" (您的连接已经过期)
如果您启用了调试,即将参数 DEBUG_SSO_TRACE_LEVEL 设为大于 1 的值,还会看到以下错误信息:
"Decrypt WebSphere style Single Sign-On token (LTPA). [0] != u.
ERROR: when decoding token [Single Sign-On token is invalid]."
(解密 WebSphere 格式的 SSO 令牌(LTPA)。解码错误:SSO 令牌无效)
"SSO API> ERROR: when decoding token [Single Sign-On token is expired]."
(SSO API 解码错误:SSO 令牌已过期)
还有一种情况,用户可能报告说他们无法使用 LTPA 令牌登录某台服务器,如,当他们从服务器 A 转向访问服务器 B 时,SSO工作正常,但当从服务器 B 转回访问服务器 A 时,SSO失效。
解答:
导致出现"token is invalid"错误的最常见原因是:WebSphere Application Server 或者 Tivoli Access Manager 使用的 SSO 令牌与导入到 Domino 服务器的 SSO 令牌不一致。当参与 SSO 的某台服务器操作系统时间不正确时,则会出现"token is expired" 错误。
为了避免这些错误出现,请按以下步骤操作:
1. 检查所有服务器上的操作系统时区和日期/时间是否正确,并与 Domino 服务器一致。
2. 在运行中的 WebSphere Application Server 或者 Tivoli 环境中重新生成一个 SSO 令牌(请重新启动该产品,以确保其使用新令牌)。
3. 下一步,将新生成的 SSO 令牌导入到 Domino 服务器中。
4. 在 Domino 服务器上重启 HTTP 任务。可在控制台使用“restart task http”指令。
附加信息
您可以使用跟踪调试(debug trace)来确定您是遇到的是哪种情况。
Tokens do not match
如果令牌不匹配,在调试信息中会看到“[0] != u.”说明 Domino 在解码 LTPA 令牌的时候,发现令牌第一个字符并非字母'u'。但'u'必须是第一个字符,因为'u'表示后面一串是用户名称并且可以被解码。
以下是将 DEBUG_SSO_TRACE_LEVEL 设置为 2 或 3 时得到的调试信息,分别包括令牌在Domino服务器上可用和不可用两种情况。
可用:
.....
11:22:56.68 AM [15C4:000A-1374] SSO API> Dumping memory of encoded token before decryption step [248 bytes].
00000000: C1CC 3013 6AFB 62C5 C8F0 C8C5 C73D 788C 'LA.0{jEbpHEH=G.x'
00000010: 0EE6 1AF4 CDF2 B869 8315 216F 66F2 7836 'f.t.rMi8..o!rf6x'
00000020: 49C5 FA4D F37B 4B7B A0C3 E186 3187 6717 'EIMz{s{KC .a.1.g'
00000030: B1A3 793F D9E8 1673 695C 7C5F 4E66 04EA '#1?yhYs.\i_|fNj.'
00000040: 28AA 7D95 E8D1 133D 4B06 87A3 3E59 00B3 '*(.}Qh=..K#.Y>3.'
00000050: D29D 6EA8 9D63 5A94 7F0E 711E CDD4 5DE4 '.R(nc..Z...qTMd]'
00000060: BB85 B16D 15A3 96EE 176D BBF9 6B26 397B '.;m1#.n.m.y;&k{9'
00000070: 80D7 4E51 E84A 72BE 8163 1249 9906 3675 'W.QNJh>rc.I...u6'
00000080: E86F 7179 829B FBDC ADD3 A27A 8B70 D71A 'ohyq..\{S-z"p..W'
00000090: 1E3B B86E ACF3 BCBC B07E 2805 C591 7B54 ';.n8s,<<~0.(.ET{'
000000A0: 3731 3BB0 601D 4EDA AA3A 9B43 2179 0350 '170;.`ZN:*C.y!P.'
000000B0: A005 6CAA AE22 74D2 371A 5EF1 56CF F5C3 '. *l".Rt.7q^OVCu'