Порядок работы NSSO

Архитектура

NSSO 2.1 выполняется на платформах Solaris*, Linux*, NetWare 5.x и Windows 2000/NT.

Для серверов Solaris и Linux необходимо программное обеспечение NDS eDirectory 8.5 или корпоративная версия NDS 8.5. (NICI инсталлируется автоматически при инсталляции сервера.)

NSSO 2.1 выполняется на серверах NetWare 5.x и Windows NT/2000 с программным обеспечением NDS 7, если используется NICI 1.5.4 или более поздней версии. Однако рекомендуется выполнить обновление до NDS eDirectory 8.5.

Совместимость NSSO 2.1 с различными платформами показана на следующем рисунке.

При инсталляции NSSO 2.1 на эти серверы программа инсталляции устанавливает сервис SecretStore поверх NDS eDirectory и NICI. Подключаемый модуль SecretStore выполняется средствами SecretStore.

Схема организации этого программного обеспечения показана на следующем рисунке.

В число подключаемых модулей SecretStore входят: DirXML^TM, API клиента, NCP^TM и расширение LDAP.

Административные компоненты устанавливаются на рабочую станцию Windows, с которой и осуществляется администрирование NSSO. Компоненты NSSO также устанавливаются на рабочие станции Windows пользователей.

Следующий рисунок иллюстрирует выполнение клиентского ПО на рабочей станции Windows.

Процесс

Схема работы NSSO показана на следующем рисунке.

1. На шаге 1 пользователь регистрируется в NDS с помощью пароля.
2. На шаге 2 при успешной регистрации выводится приглашение загрузить секреты пользователя из SecretStore на рабочую станцию. Этот процесс делает возможным работу в отключенном режиме.
3. На шаге 3 пользователь выполняет доступ к приложениям Windows, приложениям для Web или приложениям, использующим узлы. v-GO для Novell Single Sign-on распознает каждое приложение и предоставляет соответствующие имя пользователя и пароль.

   Если v-GO не распознает соответствующие параметры регистрации, выводится приглашение добавить приложение. Секреты синхронизируются при возникновении определенного события или при выполнении пользователем подключения к NDS.

Иллюстрации порядка работы NSSO см. в статье "Novell Single Sign-on" издания AppNotes за ноябрь 1999 г.

В указанной статье освещаются следующие вопросы:

• порядок аутентификации в приложениях до включения NSSO;
• первая аутентификация пользователя в приложении, работающем с NSSO;
• последующие аутентификации пользователя.

Сценарии запуска

Ниже рассмотрены сценарии запуска NSSO. В обоих случаях предполагается следующее:

• программа v-GO инсталлирована;
• клиент NMAS инсталлирован;
• программа v-GO синхронизирована с NDS;
• параметры регистрации для Windows и приложений были сохранены во время предыдущих сеансов NSSO.

Сценарий 1: пользователь отключен от NDS

1. В компании "Компьютерные авиалинии" Павел начинает процедуру регистрации.
2. Используя пароль NDS (или альтернативный метод NMAS), Client32 GINA обеспечивает аутентификацию Павла в NDS.

   Если Павел использует пароль NDS, зашифрованный хэш пароля сохраняется в реестре. NSSO использует этот зашифрованный пароль для повторной аутентификации и аутентификации в отключенном режиме.

   Диспетчер регистрации Client32 извлекает пароль Windows NT/2000 из SecretStore и передает его в Windows.

3. По мере необходимости диспетчер регистрации Client32 извлекает пароли Павла из SecretStore в ходе выполнения процедуры обновления.
4. Запускается фоновый процесс v-GO, выполняющий чтение административных переопределений и чтение настроек приложения из NDS.
5. v-GO подтверждает, что пользователь NDS Павел является тем же, что и при последней аутентификации в NDS.
6. v-GO синхронизирует данные регистрации между локальным хранилищем и SecretStore.
7. Павел запускает Lotus* Notes*, открывает страницу регистрации в Web или сеанс большой ЭВМ.
8. v-GO определяет, что Павел регистрируется в поддерживаемом приложении; v-GO подтверждает аутентификацию пользователя.
9. v-GO извлекает данные регистрации из локального зашифрованного кэша и передает их в Lotus Notes.
10. Lotus Notes принимает параметры регистрации и завершает процедуру запуска.

Сценарий 2: пользователь отключен от NDS

1. Павел регистрируется в NDS с использованием пароля Windows.
2. Запускается фоновый процесс v-GO, выполняющий чтение настроек приложения из ранее кэшированных данных.
3. v-GO определяет, что Павел не аутентифицирован в NDS.
4. (Условно). Если сетевой администратор запретил работу в отключенном состоянии, v-GO выводит сообщение и завершает свою работу. В противном случае Павел запускает Lotus* Notes*, открывает страницу регистрации в Web или сеанс большой ЭВМ.
5. v-GO обнаруживает поддерживаемую регистрацию в Lotus Notes.
6. v-GO вызывает отключенную аутентификацию NMAS.

   Для продолжения Павел должен ввести свой пароль NDS.

7. v-GO извлекает данные регистрации из локального зашифрованного кэша и передает их в Lotus Notes.
8. Lotus Notes принимает параметры регистрации и завершает процедуру запуска.