Sametime SSO

Hallo zusammen,
habe gerade eine Testumgebung für Sametime 8.5.1 installiert, wobei ich mich im wesentlichen an die beiden bekannten How-Tos gehalten habe:

http://www.slideshare.net/ekno…ne-angst-vor-sametime-851
http://www-10.lotus.com/ldd/st…o_to_Hero-Next_Generation

Die Systeme sind wie folgt aufgeteilt:
sametime01 - system console, db2, meetingserver
sametime02 - lotus domino, community server
sametime03 - proxy-server, media manager

Offenbar klappt das Single-Sign-On dabei noch nicht so ganz wie es sollte.
Im Lotus Notes Client wurde der aktuelle Sametime Embedded Client installiert. Wenn man in den Preferences des Embedded Clients angibt, dass man den "token based single sign on" vom Typ "Domino Single Sign on" verwenden möchte, klappt die Anmeldung am Sametime-Community-Server selbst schon mal problemlos, ohne dass für die Anmeldung ein Benutzername oder Kennwort angeben werden muss. Die Registrierung der AV-Funktionen schlägt dabei aber offenbar fehl. Hier erhalte ich nach der Anmeldung an Sametime die Meldung "To ensure use of all voice and video capabilities, log out of lux-sametime02.domaene.intra:Heinz Mustermann, check the Remember Password option and log in again". Ich kann dann zwar Meetingräume erstellen, usw. aber die AV-Funktionen stehen dabei eben nicht zur Verfügung.
Wenn ich in den Verbindungsoptionen nun doch das zum Account gehörige Domino-Internet-Kennwort angebe, und die Sametime-Anmeldung wiederhole, stehen die AV-Funktionen normal zur Verfügung. Das ist aber ja nicht so ganz der Sinn der Sache beim SSO, oder !?

Für die Einrichtung des SSO zwischen Community- und Meeting-Server habe ich mich an diese Anleitung im Infocenter gehalten:

http://publib.boulder.ibm.com/…_sec_import_ltpakeys.html

Testweise habe ich mal einen (Domino-)LDAP-Benutzer zur Systemconsole des Meeting Servers hinzugefügt. Nachdem dieser Benutzer sich an der Systemconsole des Meetingservers angemeldet hat (Meeting Server: https://lux-sametime01.domaene.intra:8501/ibm/console/), kann er ohne erneute Anmeldung auch auf den Domino-Server zugreifen, auf dem der Community Server installiert wurde (z.B. https://lux-sametime02.domaene.intra/names.nsf).
Sollte das dann nicht auch analog im Embedded Client funktionieren?

kleine Ergänzung: Wenn ich kein Kennwort angebe und zusötzlich zum SSO auch das Häckchen bei "Automatically log in" setze, erhalte ich folgende Meldung:

Unable to initialize Computer, and it can't be used at this time. com.ibm.collaboration.realtime.telephony.softphone.SIPPhoneException: Processed unsuccessful response: SIP/2.0 401 Unauthorized
Call-ID: 0.8.56AE31B70C959CF3@10.6.4.26
Content-Length: 0
CSeq: 2 REGISTER
From: <sips:heinz.mustermann%40domaene.de@lux-sametime03.domaene.intra:5081>;tag=9230.130844730282
To: <sips:heinz.mustermann%40domaene.de@lux-sametime03.domaene.intra:5081>;tag=9574421776866134_local.1285848693409_35236_66186
Via: SIP/2.0/TLS 10.6.4.26:5061;branch=z9hG4bK4929343293635366441
WWW-Authenticate: Basic realm="rtp.raleigh.ibm.com"

for: REGISTER sip:lux-sametime03.domaene.intra:5081;transport=tls SIP/2.0
Call-ID: 0.8.56AE31B70C959CF3@10.6.4.26
CSeq: 2 REGISTER
From: <sips:heinz.mustermann%40domaene.de@lux-sametime03.domaene.intra:5081>;tag=9230.130844730282
To: <sips:heinz.mustermann%40domaene.de@lux-sametime03.domaene.intra:5081>
Via: SIP/2.0/TLS 10.6.4.26:5061;branch=z9hG4bK4929343293635366441
Max-Forwards: 70
Contact: <sip:10.6.4.26:5061;transport=tls>
Expires: 300
User-Agent: Sametime-Softphone-8.5.1.20100830-2030
Allow: INVITE, ACK, CANCEL, BYE, NOTIFY, INFO, MESSAGE, UPDATE
Content-Length: 0

Das mit dem Fehler unterschreibe ich Dir sofort
Doch wo ungefähr könnte denn dieser String überhaupt konfigurierbar sein? Wäre mir nicht bewusst, dass ich das bei der Installation irgendwo angegeben hätte. Für den Zugriff auf die Server benutze ich definitiv die FQDNs bzw. FQHNs.

Könnte es evtl. sein, dass man in der Integrated Solutions Console des Media Managers unter Globale Sicherheit -> LTPA den Key importieren muss, den man zuvor aus der ISC des Meeting Servers exportiert hat? In der oben erwähnten Anleitung für das SSO zw. Community und Meeting Server steht folgendes:

You should set up single sign-on (SSO) between the IBM® Lotus® Sametime® Meeting server and the Lotus Sametime Community Server. The Lotus Sametime Proxy server does not need to be setup for SSO with the other two servers.

Da steht jetzt allerdings nichts explizit zum Media Manager drin. Interessanterweise ist in der ISC des Media Managers unter Globale Sicherheit -> Web & SIP-Sicherheit -> SSO selbiges aktiviert. Das Feld mit dem Domänennamen ist bei mir allerdings leer.

Ich glaub das werde ich mal ausprobieren...

EDIT: Der Versuch hat leider rein gar nichts gebracht. Hat aber augenscheinlich auch nicht geschadet. Zumindest habe ich damit einen SSO auf der Integrated Service Console...

Nachdem ich mich an der ISC des Media Managers auf dem lux-sametime03 angemeldet habe, kann ich auch ohne Anmeldung auf die ISC des Meeting Servers auf Lux-sametim01 zugreifen. Insofern ist augenscheinlich das SSO aktiv und funktioniert. In den Seiteninfos im Firefox kann ich auch ein LTPav1 und LTPAv2 Token bei den Cookies finden, was auf unsere dabei verwendete Domain augestellt ist...

Das ist mir schon bewusst. Stellt sich nur weiterhin die Frage, an welcher Stelle dieser Realm denn bitte überhaupt konfigurierbar ist?! Oder wo der ggf. während der Installation abgefragt wird - den hab ich mir sicher nicht aus den Fingern gesaugt....

Habe gerade 8.5.1.1 installiert. Damit scheint das Problem gefixt zu sein. Evtl. im Zusammenhang hiermit:

SPR# KMAO84QAZZ - Corrected SSO between Sametime Proxy Web client and WebSphere Portal