Configuration du mappage de nom d'utilisateur lors de la gestion des utilisateurs Domino® à l'aide d'Active Directory

Suivez les étapes de cette rubrique afin de configurer le mappage de nom d'utilisateur pour un environnement de connexion unique Windows™ si vous gérez les informations d'utilisateur HCL Domino® principalement via Active Directory. Dans cette configuration, vous devez ajouter les noms distinctifs HCL Notes® des utilisateurs aux comptes utilisateurs Active Directory.

Procédure

Dans une base de données de l'assistance d'annuaire, créez un document Assistance d'annuaire LDAP à utiliser pour vous connecter au serveur Active Directory.

Tableau 1. Champs importants du document Assistance d'annuaire LDAP
Touche Tab	Champ	Valeur	Commentaire
Général	Rendre ce domaine disponible pour	Notes® Clients and Internet Authentication/Authorization	Obligatoire L'option LDAP Clients est facultative.
Général	Autorisation de groupe	Yes ou No	Sélectionnez Yes si vous souhaitez utiliser des groupes Active Directory dans les LCA des bases de données.
Général	Attribute to be used as name in an SSO token	$DN	N'est requis que si un serveur de connexion unique IBM® WebSphere® authentifie les utilisateurs auprès d'Active Directory afin que les jetons LTPA des utilisateurs contiennent leurs noms Active Directory. Requiert l'activation de l'option Mapper les noms dans les jetons LTPA dans le document Configuration Web SSO. Assure le bon fonctionnement de la connexion unique pour les serveurs qui authentifient les utilisateurs auprès d'Active Directory.
Bases - Configuration SSO	Windows™ connexion unique pour les clients Web	Activé	Permet de réaliser des recherches de nom efficaces à partir des noms (Kerberos) de connexion Active Directory des utilisateurs. Combinée à l'option Attribute to be used as Notes Distinguished Name, permet d'associer l'identité Kerberos de l'utilisateur au nom Domino®.
Bases - Configuration SSO	Domaine Kerberos	Active Directory domain	Spécifiez le domaine en lettres majuscules, AD.RENOVATIONS.COM, par exemple.
Naming Contexts (Rules)	Données d'identification sécurisées	Oui
LDAP	Attribut à utiliser en tant que nom distinctif Notes®	`attribute`	Attribut d'Active Directory qui stocke les noms distinctifs Notes® des utilisateurs. Un administrateur d'annuaire peut être amené à étendre le schéma Active Directory afin d'ajouter un attribut pour ce nom si aucun attribut existant ne contient déjà le nom distinctif Notes®. Il est également possible d'utiliser l'attribut `altSecurityIdentities`, s'il n'est pas déjà utilisé. Vous pouvez vous servir d'un outil de synchronisation d'annuaire tel qu'IBM® Tivoli® Directory Integrator pour entrer des noms Notes® dans l'attribut. La valeur de l'attribut doit être conforme à la syntaxe du nom distinctif. Dans Active Directory, utilisez des séparateurs LDAP tels que la virgule (,) dans les noms Notes® plutôt que des séparateurs Notes® tels que la barre oblique Notes (/) ; par exemple : `cn=Betty Zechman,ou=Marketing,o=Renovations` au lieu de `cn=Betty Zechman/ou=Marketing/o=Renovations` Sert à relier cet enregistrement Active Directory à un nom distinctif Notes® afin de déterminer l'accès de l'utilisateur aux ressources Domino®.
LDAP	Type de filtre de recherche à utiliser	Active Directory

Si l'utilisateur dispose de documents Personne dans l'annuaire Domino®, modifiez-les comme indiqué ci-dessous. Les documents Personne sont facultatifs pour les utilisateurs Web qui ne se servent pas d'HCL iNotes®.

Tableau 2. Modifications nécessaires dans les documents Personne
Touche Tab	Champ	Valeur	Commentaire
Général	Mot de passe Internet (HTTPPassword)	Aucun (recommandé) Ou `password-hash`	Si vous le souhaitez, supprimez le mot de passe afin d'utiliser les mots de passe Active Directory de l'utilisateur pour l'accès à Internet qui nécessite la vérification de mot de passe. Une fois le mot de passe supprimé, définissez l'accès à l'annuaire de façon à empêcher les utilisateurs d'ajouter eux-mêmes des mots de passe. Une fois le mot de passe supprimé, Domino® vérifie les mots de passe de l'utilisateur dans Active Directory lorsque la connexion unique Windows™ n'est pas disponible.

Si l'utilisateur dispose de documents Personne Domino® mais que ceux-ci ne contiennent pas les mots de passe Internet Domino®, désactivez les paramètres de mot de passe Internet dans le document de politique des paramètres de sécurité de l'utilisateur :

Tableau 3. Paramètres à désactiver dans le document Paramètres de sécurité des utilisateurs
Touche Tab	Champ	Valeur	Commentaire
Informations de base sur la gestion des mots de passe	Autoriser les utilisateurs à modifier le mot de passe Internet via HTTP	Non	La valeur par défaut est Oui. Si aucun document de politique Paramètres de sécurité n'est spécifié pour les utilisateurs, créez-en un afin de modifier la valeur par défaut.
Informations de base sur la gestion des mots de passe	Mettre à jour le mot de passe Internet lorsque le mot de passe du client Notes® change	Non
Informations de base sur la gestion des mots de passe	Appliquer l'expiration du mot de passe	Désactivé ou Notes® uniquement

Sur l'onglet Sécurité > Accès à Internet des documents Serveur des serveurs Domino® participants, pour Internet authentication, sélectionnez Moins de variantes de noms et plus de sécurité.

Si certains serveurs de connexion unique authentifient des utilisateurs auprès d'Active Directory, spécifiez le paramètre suivant dans le document Configuration Web SSO :

Tableau 4. Paramètres du document Configuration Web SSO
Touche Tab	Champ	Valeur	Commentaire
Général - Configuration de jeton	Mapper les noms dans les jetons LTPA	Activé	Sert à mapper les noms distinctifs Active Directory contenus dans les jetons LTPA de connexion unique avec les noms distinctifs Notes® afin de définir l'accès de l'utilisateur aux ressources Domino®. Permet d'assurer le bon fonctionnement de la connexion unique sur les serveurs qui authentifient l'utilisateur auprès d'Active Directory.