NSSO 如何工作
结构
NSSO 2.1 在 Solaris*、Linux*、NetWare 5.x 和 Windows 2000/NT 上运行。
Solaris 和 Linux 服务器需要 NDS eDirectory 8.5 或企业版 8.5。 (NICI 在服务器安装期间自动安装。)
只要安装了 NICI 1.5.4 或更高版本,NSSO 2.1 即可在运行 NDS 7 的 NetWare 5.x 和 Windows NT/2000 服务器上运行。 但我们建议您升级到 NDS eDirectory 8.5。
在这些平台上运行的 NSSO 2.1 如下图所示:
在这些服务器上安装 NSSO 2.1 时,安装程序将在 NDS eDirectory 和 NICI 的最上层安装 SecretStore 服务。 SecretStore 插件在 SecretStore 的最上层运行。
此软件如下图所示:
SecretStore 插件包括 DirXMLTM、客户程序 API、NCPTM 和 LDAP 扩展。
在 Windows 工作站上安装管理部件,并从那里管理 NSSO。 也可将 NSSO 部件安装在用户的 Windows 工作站中。
在 Windows 工作站上运行的客户软件如下图所示:
流程
NSSO 的工作流程如下图所示:
- 在步骤 1 中,用户使用口令登录到 NDS。
- 在步骤 2 中,成功的登录会提示用户的机密将从 SecretStore 下载到工作站中。 此过程将启用脱机工作。
- 在步骤 3 中,用户访问 Windows、基于网络或基于主机的应用程序。用于 Novell Single Sign-on 的 v-GO 识别应用程序并用相应的用户名和口令响应。
如果 v-GO 没有发现匹配的证书,则 v-GO 提示用户添加应用程序。 当发生某事件或用户连接到 NDS 时,机密被同步化。
有关 NSSO 工作流程的图解说明,请参阅 1999 年 11月版 AppNotes 的 "Novell Single Sign-on"。
该文章讲述了如下内容:
- 在启用 NSSO 前,应用程序如何鉴定
- 用户首次到 NSSO 启用的应用程序的鉴定
- 随后进行的用户鉴定
有关启动的假设场景
下述场景说明 NSSO 的启动过程。 两个场景的假定条件如下:
- v-GO 已安装
- NMAS 客户程序已安装
- v-GO 已经与 NDS 同步
- Windows 和应用程序的登录证书已在前一 NSSO 会话中保存
场景 1: 用户从 NDS 断开
- 在 Digital Airlines,Paulo 开始登录。
- 使用 NDS 口令(或另一种 NMAS 方法。),Client32 GINA 将 Paulo 鉴定到 NDS。
如果 Paulo 使用 NDS 口令方法,则口令的加密哈希储存在注册表中。 NSSO 将此加密哈希用于重新鉴定和断开模式。
Client32 登录管理器从 SecretStore 检索 Windows NT/2000 口令并将其传递给 Windows。
- 需要时,在处理登录底稿过程中,Client32 登录管理器从 SecretStore 检索 Paulo 的口令。
- v-GO 后台进程起动,读取管理覆盖信息,并从 NDS 读取应用程序设置。
- v-GO 确认 NDS 用户 Paulo 与上一个 NDS 用户 Paulo 相同。
- v-GO 同步化本地存储区和 SecretStore 之间的登录数据。
- Paulo 启动 Lotus* Notes*,打开万维网登录网页,或打开大型主机会话。
- v-GO 检测到 Paulo 登录到支持的应用程序;v-GO 确认用户鉴定。
- v-GO 从本地加密超速缓存区检索登录数据,并将其提供给 Lotus Notes。
- Lotus Notes 接受证书并完成启动。
场景 2: 用户从 NDS 断开
- Paulo 使用 Windows 口令登录到 NDS。
- v-GO 后台进程起动,并从先前超速缓存的数据读取应用程序设置。
- v-GO 检测到 Paulo 未被鉴定到 NDS。
- (依条件而定)如果网络管理员已禁用断开状态下的操作,则 v-GO 显示一条信息并关闭。 否则,Paulo 启动 Lotus Notes,打开万维网登录网页,或打开大型主机会话。
- v-GO 检测支持的 Lotus Notes 登录。
- v-GO 调用 NMAS 断开状态的鉴定。
要继续进行,Paulo 必须输入其 NDS 口令。
- v-GO 从本地加密超速缓存区检索登录数据,并将其提供给 Lotus Notes。
- Notes 接受证书并完成启动。
