Прежде чем я начну здесь: это дубликат другого поста на serverFault.com ("https://serverfault.com/questions/1009946/hcl-domino-how-to-drop-users-logged-in-with-ltpatoken"); Сначала я почувствовал, что это будет место, чтобы спросить, но так как я не получил ответа, я решил попробовать еще раз здесь.
Мы работаем на сервере Domino (V 10.0.1 FP3), на котором размещается количество приложений Xpages. За исключением администраторов, все пользователи получают доступ к этим приложениям только через http (т. Е. Без nrp c / клиентского доступа Notes).
Данные о пользователях синхронизируются из AD в Domino через TDI. Аутентификация выполняется по AD компании, это настраивается через документ конфигурации Web SSO. Однако complete SSO не настроен так, что пользователям придется проходить аутентификацию при первом доступе к приложениям через их браузеры.
По причинам, связанным с приложениями, мы устанавливаем время истечения токена Ltpa на довольно высокое значение (при необходимости я хочу обсудить причины этого в отдельной ветке, но это не имеет отношения к этому вопросу здесь).
Вот скриншот страницы конфигурации:
Задача http Domino возобновляется каждое утро в 2:30 через программный документ, выдающий
restart task http
Некоторые наблюдения из этот сервер:
- перезапуск http, по-видимому, не делает токены недействительными, т. е. после резервного копирования http пользователь, который оставил браузер открытым, может легко продолжить доступ к приложениям без повторной аутентификации ( в течение срока истечения). (РЕДАКТИРОВАТЬ): Это кажется верным, даже если весь сервер домино перезапускается
- , если пользователи просто закрывают свои браузеры, вместо того, чтобы корректно выходить из системы с токенами на стороне сервера, не удаляются (опять же, пока они не истекают). Если затем пользователь снова входит в систему, второй / третий / четвертый токен для этого пользователя появляется на стороне сервера
- , по-видимому, нет прямого способа удалить сеанс пользователя, ни с помощью простой команды консоли
drop, ни через admin клиентские действия
Вопрос: есть ли способы отбросить эти пользовательские сеансы со стороны сервера и / или действительно аннулировать токены?
По сути, я ищу способ обеспечить повторную аутентификацию пользователей каждое утро. Поскольку http перезапускается каждое утро в 2:30 (см. Выше), было бы идеально сделать это также в это время или около того.
Для полноты: для этого сервера мы используем Inte rnet документ сайта, который настроен так:
Любая подсказка очень приветствуется.