Назад | Перейти на главную страницу

HCL Domino: как удалить пользователей, вошедших в систему с LtpaToken

У нас запущен сервер Domino (V 10.0.1 FP3), на котором размещено несколько приложений Xpages. За исключением администраторов, все пользователи получают доступ к этому приложению только через http (т. Е. Нет доступа клиента nrpc / Notes).

Персональные данные пользователей синхронизируются из AD в Domino через TDI. Аутентификация выполняется по AD компании, это настраивается через документ конфигурации единого входа в Интернете. Однако нет полный Система единого входа настроена таким образом, чтобы пользователям приходилось проходить аутентификацию при первом доступе к приложениям через свои браузеры.

По причинам, связанным с приложением, мы устанавливаем время истечения срока действия токена Ltpa на довольно высокое значение (при необходимости я готов обсудить причины этого в отдельном потоке, но здесь это не имеет отношения к данному вопросу).

Вот скриншот страницы конфигурации:

HTTP-задача Domino перезапускается каждое утро в 2:30 через выпуск программного документа.

restart task http

Некоторые наблюдения с этого сервера, как с помощью клиента администратора / просмотра пользователей Интернета, так и tell http show users на консоли сервера выдается:

  1. перезапуск http, по-видимому, не делает токены недействительными, то есть после резервного копирования http пользователь, который оставил браузер открытым, может легко продолжить доступ к приложениям без повторной аутентификации (в течение срока действия). (РЕДАКТИРОВАТЬ): это похоже на правду, даже если весь сервер домино перезапущен
  2. если пользователи просто закрывают свои браузеры вместо правильного выхода из системы, токены на стороне сервера не удаляются (опять же, если срок их действия не истекает). Если затем пользователь снова входит в систему, 2-й / 3-й / 4-й токен для этого пользователя появляется на стороне сервера.
  3. очевидно, нет прямого способа сбросить сеанс пользователя, ни с помощью простого drop консольная команда или действия клиента администратора

Вопрос: Есть ли способы отбросить эти пользовательские сеансы со стороны сервера и / или действительно аннулировать токены? По сути, то, что я ищу, - это способ убедиться, что пользователи должны проходить повторную аутентификацию каждое утро. Поскольку http перезапускается каждое утро в 2:30 (см. Выше), было бы идеально сделать это в это же время или примерно в это же время.

Обновление 2020-03-30:

для полноты: для этого сервера мы используем документ Интернет-сайта, который настроен следующим образом: