我们正在运行一个 Domino 服务器(V 10.0.1 FP3),该服务器托管许多 Xpages 应用程序。除管理员外,所有用户都仅通过 http 访问这些应用程序(即没有 nrpc/Notes 客户端访问)。
用户的个人数据通过 TDI 从 AD 同步到 Domino。身份验证是根据公司的 AD 进行的,这是通过 Web SSO 配置文件配置的。然而,没有完全的设置 SSO,以便用户首次通过浏览器访问应用程序时必须进行身份验证。
出于应用程序相关的原因,我们将 Ltpa 令牌的过期时间设置为一个相当高的值(如果有必要,我愿意在单独的线程中讨论这样做的原因,但这与此处的问题无关)。
以下是配置页面的屏幕截图:
Domino 的 http 任务每天早上 2:30 通过发出的程序文档重新启动
restart task http
一些观察从该服务器,同时使用管理客户端/互联网用户视图并tell http show users在服务器控制台上发出:
- http 重启显然不会使令牌失效,也就是说,一旦 http 恢复,保持浏览器打开的用户可以轻松继续访问应用程序,而无需重新进行身份验证(在有效期限内)。(编辑):即使整个 Domino 服务器重新启动,情况似乎也是如此
- 如果用户只是关闭浏览器而不是正确注销,则服务器端的令牌不会被删除(同样,只要它们没有过期)。如果用户再次登录,则服务器端会出现该用户的第二个/第三个/第四个令牌
- 显然没有直接的方法可以删除用户会话,无论是通过简单的
drop控制台命令还是通过管理客户端操作
问题: 有没有办法从服务器端删除这些用户会话和/或真正使令牌无效?基本上,我正在寻找一种方法来确保用户每天早上都必须重新进行身份验证。由于 http 每天早上 2:30 重新启动(见上文),因此最好也在这个时间或左右执行此操作。
更新 2020-03-30:
为了完整性:对于此服务器,我们使用如下设置的 Internet 站点文档:
