设置 Single Sign-on

要设置 Single Sign-on，首先创建一个 nssoSingleSignon 对象，启用 v-GO，然后进行全局设置。

创建 NSSO 树枝对象

要创建 nssoSingleSignon 对象，请在您的管理性工作站上完成下列步骤：

使用 ConsoleOne^TM，右击 nssoSingleSignon 对象所在的环境。

要提供您需要的控制级，可将一个 nssoSingleSignon 对象放置在 NDS 树中的任何位置，[Root] 级位置除外。在“组织”级，该对象可将设置和策略应用到树中的所有 Novell 服务器和用户。在“组织单元”级，该对象可应用选择性设置或策略。

如果将 nssoSingleSignon 对象放置在其它环境中，可以通过在“用户”对象或树枝对象上的设置来引用该对象。

单击“新建”>“对象”>“nssoSingleSignon”>“确定”。

输入对象的名称。

输入任意名称（例如，nssoResearch-22）。

（可选）导入预定义的 nssoApplication 对象的列表。

用于 Novell Single Sign-on 的 v-GO 包含预定义的 nssoApplication 对象（例如，Lotus* Notes*）。这些预定义的对象用于 Windows* 应用程序。每个对象都包含一个应用程序的配置（定义）。这些应用程序的定义位于 APPLIST.INI 文件中。

要导入这些预定义的对象，请单击 Import v-GO Predefined Windows Applications 字段的 Browse 按钮。

找到 APPLIST.INI 文件并将其选中，该文件位于安装目录下（例如，NOVELL\SSO\PASSLOGIX）。

重要: 对于每个 nssoSingleSignon 对象仅能导入 APPLIST.INI 一次，且仅在您要应用“增强型保护”或其它选项时进行。

默认情况下，可使用下列启用的选项来创建这些导入的 nssoApplication 对象：

增强型保护

允许用户显示口令

启用 v-GO

要实现无限制地使用 v-GO 以及设置和策略的 ConsoleOne 管理，您必须完成下列内容：

为该对象配置的所有用户发放产品许可

必须已经购买下列软件包之一：

用于 Novell Single Sign-on 2.1 的 v-GO

Single Sign-on 2.1 /v-GO Bundle

启用 v-GO

如果没有启用 v-GO，则 v-GO 仅支持在 APPLIST2.INI 中预定义的应用程序和五个万维网站点。

单击“v-GO”选项卡 >“一般”。

选中“许可证”框中的“启用 v-GO”复选框。

接受许可证协议 > 单击“应用”。

配置 Single Sign-on 对象

使用 Single Sign-on 和 v-GO 属性页中的设置可以配置 Single Sign-on 对象 (nssoSingleSignon)。

设置服务器选项

使用 ConsoleOne，可以配置 Novell SecretStore^TM 服务。

右击 nssoSingleSignon 对象 > 选择“属性”。

在 Single Sign-on 的“一般”页中进行设置。

nssoSingleSignon 的“一般”页如下图所示。

Sandy 通过从其它版本的 Attachmate Extra! 中复制设置，

SecretStore 服务对一些特定应用程序的设置进行超速缓存，如 NMAS^TM 所需的设置，以在 ReadSecret 操作中执行分级鉴定。此超速缓存有助于对请求进行更加快速的服务响应。服务器超速缓存的刷新周期的默认值为 60 分钟。最低为 30 分钟（1/2 小时）。最高为 1,440 分钟（24 小时）。

在下列情况下考虑增加该时间：

更改 NSSO 对象不频繁。

NSSO 系统执行更改的时间可以较长。

您要降低超速缓存中刷新数据的小开销。

如果需要立即更新超速缓存，则卸载并重新装载 SecretStore 服务。

更新时戳

要获得有关所有 ReadSecret 操作的 SecretStore 服务记录时戳信息，请选中此设置的复选框。

默认情况下，NSSO 系统不更新时戳。如果要在读取机密时更新时戳，请选中复选框。每次读取都要求 NSSO 系统通过更新时戳来修改机密。这种更新操作需要较长时间来完成。

禁用主口令操作

要禁用所有“增强型保护主口令”操作，请选中此设置的复选框。之后，用户将不能设置或使用他们的主口令来解除 SecretStore 锁定。

应用口令策略

通过创建和配置 nssoPasswordPolicy 对象，可以控制支持口令策略的 v-GO 和应用程序连接器的口令策略。

右击 nssoSingleSignon 对象 > 选择“属性”。

单击“Single Sign-on”选项卡 >“一般”。

单击 Browse 按钮 > 找到 nssoPasswordPolicy 对象 > 选择此对象。

要创建 nssoPasswordPolicy 对象，请参阅应用口令策略。

允许执行断开状态下的操作

联机时，v-GO 使用本地、加密的口令储存，它起到超速缓存的作用。在与 NDS 和 SecretStore 断开时，v-GO 支持单一式签到。这种断开状态下的功能对使用膝上型计算机的用户非常有益。默认情况下，允许执行断开状态下的操作。

如果不希望此配置的用户使用该功能，可取消选中“允许执行断开状态下的操作”复选框。

右击 nssoSingleSignon 对象 > 选择“属性”。

单击“v-GO”选项卡 >“一般”。

取消选中“允许执行断开状态下的操作”复选框。

进行全局设置

如果您启用某种设置，则用户可在他们的工作站上进行单一式签到自选设置。使用 ConsoleOne 中的下拉列表，可以进行全局设置，允许或覆盖用户自选设置。

用于 NSSO 的 v-GO 有四个属性页（一般、口令、登录和大型主机）。进行这些全局设置的下拉列表在四个属性页中都存在。在下图中，“用户定义”设置阐明了此下拉列表。

下拉列表有三个设置： “否”、“是”和“用户定义”。

“否”和“是”都是强制性设置，可禁用（覆盖）用户自选设置中的选项。 “用户定义”设置由用户进行选择。

删除本地登录数据

用户关闭计算机时，可以强制 v-GO 去除本地超速缓存中的机密。该功能最适用于多个用户使用相同的帐户登录到同一计算机的情况。（这些是计算机登录，不是 NDS 登录。）52

要强制用户工作站去除本地超速缓存中的机密：

右击 nssoSingleSignon 对象 > 选择“属性”。

单击“v-GO”选项卡 >“一般”。

在“在关闭时删除本地登录数据”字段，单击下拉列表 >“是”。

要防止用户工作站删除本地超速缓存的机密，选择“否”。要允许用户在他们的工作站中选择选项，则选择“用户定义”。

使用“生成”按钮进行更新

用于 NSSO 的 v-GO 从此 nssoSingleSignon 对象的特性下载设置和口令策略。无论应用程序和口令策略对象何时更改，这些特性都被自动更新。如果删除了这些对象之一，可以通过单击此按钮来强制对 v-GO 配置数据进行更新。下一次重新启动 v-GO 时，更新结果将应用到工作站。

右击 nssoSingleSignon 对象 > 选择“属性”。

单击“v-GO”选项卡 >“一般”>“生成”。

识别受口令保护的应用程序

v-GO 可检测未储存任何登录数据的应用程序登录事件。此事件发生时，可以强制 v-GO 识别受口令保护的应用程序和万维网站点，并提示用户添加登录。

右击 nssoSingleSignon 对象 > 选择“属性”。

单击“v-GO”选项卡 >“口令”。

在“自动提示”字段，单击下拉列表 >“是”。

如果选择“是”或“用户定义”设置，v-GO 将提示用户是否要添加登录。如果用户响应“是”，将运行“添加登录向导”。

如果选择“否”设置，用户仍可从 Windows 系统盘中的 Novell Single Sign-on 图标选择“添加登录”来添加登录数据。

即刻进入应用程序或万维网站点

v-GO 可检测已经储存登录数据的应用程序登录事件。此事件发生时，可以强制 v-GO 即刻按 Enter 键并进入应用程序或万维网站点。

右击 nssoSingleSignon 对象 > 选择“属性”。

单击“v-GO”选项卡 >“口令”。

在“自动 Enter”字段，单击下拉列表 >“是”。

如果选择“是”或“用户定义”设置，v-GO 将提供用户名和口令并按 Enter 键。

如果选择“否”设置，v-GO 将输入数据，允许用户对登录屏幕进行必要的修改，然后按 Enter 键。

显示“用户 ID”和“口令”字段

可以启用 v-GO 来显示“用户 ID”和“口令”字段。

右击 nssoSingleSignon 对象 > 选择“属性”。

单击“v-GO”选项卡 >“口令”。

在“显示标识/口令”字段，单击下拉列表 >“是”。

默认情况下，用户可使用 v-GO 的“我的登录”界面显示已保存的登录详细信息。

如果选择“否”，v-GO 则不显示“用户 ID”和“口令”字段。

通过对所有 nssoApplication 对象均设置这一属性，可实现在应用程序级控制此设置。（选中“允许用户显示口令”复选框。）

定义口令的特殊字符

可以定义特殊字符的扩展集，它们可用于任何应用程序的口令中。

右击 nssoSingleSignon 对象 > 选择“属性”。

单击“v-GO”选项卡 >“口令”。

在“特殊字符”字段，输入用户可在其口令中输入的附加特殊字符。

每个 nssoPasswordPolicy 对象都有一个“特殊字符规则”页面。此页面有一“无法接受的特殊字符”字段。其中列出不可接受的字符。

对于给定的一个或一组应用程序，“无法接受的特殊字符”字段将从“特殊字符”字段中减去。

显示“NSSO 访问”图标

可以强制 NSSO 系统显示出现在活动窗口标题栏上的 Novell Single Sign-on Access 小图标。

右击 nssoSingleSignon 对象 > 选择“属性”。

单击“v-GO”选项卡 > 选择“登录”。

在“访问图标”字段，单击下拉列表 >“是”。

使用此图标可以访问 v-GO 的“添加登录”和“登录”功能。如果“自动提示”（在“口令”页面）和“自动识别”（在“登录”页面）设置为“否”，此图标将非常有用。

设置“是”将显示此图标。要禁止显示此图标，请选择“否”。

要允许用户决定，请选择“用户定义”。

显示图标的下拉列表

默认情况下，单击窗口标题上的“NSSO 访问”图标后，将显示一下拉菜单。可以禁止显示下拉菜单。

右击 nssoSingleSignon 对象 > 选择“属性”。

单击“v-GO”选项卡 >“登录”。

在“显示下拉列表”字段，单击下拉列表 >“否”。

如果此图标显示出来并且下拉列表设置为“否”，根据是否存在该应用程序窗口的登录，将出现下列情况之一：

添加登录事件

登录事件

自动提供登录数据

默认情况下，v-GO 为已创建登录的应用程序自动提供登录数据。可以强制 v-GO 不执行此操作。

右击 nssoSingleSignon 对象 > 选择“属性”。

单击“v-GO”选项卡 >“登录”。

在“自动识别”字段，单击下拉列表 >“否”。

默认设置“是”自动提供登录数据。

设置计时器

要实现更快速的登录，用户可使用“程序”> Single Sign-on > Single Sign-on>“设置”>“登录”来设置计时器。计时器可确定证书超速缓存的时间。

使用 ConsoleOne，可以覆盖用户在他们的工作站所做的设置。

右击 nssoSingleSignon 对象 > 选择“属性”。

单击“v-GO”选项卡 >“登录”。

在“计时器”字段中输入值。

要覆盖用户在其工作站上所做的设置，请在“计时器”字段中输入一个值。如果您未指定值（包括 0），则用户可在其工作站指定任何所需的值。

较大的数值（如 15）可加速登录过程，因为 v-GO 可快速从超速缓存获得登录证书。如果设置为 15 分钟，超过此时间长度后，下次访问 v-GO 存储区以启动应用程序或编辑已保存的登录时，必须重新输入 NDS 口令。

在某些方面，此功能用作有限的屏幕保护程序。计时器并不锁定桌面，但锁定了 v-GO。

如果将该值设置为 0，则每次启动应用程序时，用户必须提供其 NDS 口令。

截断万维网登录 URL

v-GO 通过“添加登录向导”捕获 URL。可以指定 v-GO 将保存的 URL 级数。

例如，URL 是四级： iClick.salem.vmp.com。如果您将值设置为 3，则 v-GO 保存 URL 为 salem.vmp.com。

右击 nssoSingleSignon 对象 > 选择“属性”。

单击“v-GO”选项卡 >“登录”。

在“Truncate Web Logon URLs”字段中输入值。

可以编辑 v-GO 在“添加登录”处理中写入的截断的路径。

启用大型主机支持

可以覆盖 HLLAPI 终端仿真器支持的用户的设置。

右击 nssoSingleSignon 对象 > 选择“属性”。

单击“v-GO”选项卡 >“大型主机”。

在 Enter Mainframe Support 字段，单击下拉列表 >“是”。

在“默认终端仿真器”字段，输入终端仿真器的名称。

如果用户已经在 v-GO 客户程序的“大型主机”页指定了仿真器，可以覆盖该设置。有关可接受名称的列表，请参阅 v-GO 客户程序安装目录 (C:\NOVELL\SSO\PASSLOGIX) 中的 MFRMLIST.INI 文件。

如果用户的工作站没有多个仿真器，可跳过此设置。

此外，如果为具有不同仿真器的用户管理该 nssoSingleSignon 对象，请不要使用此设置。