通过 Active Directory 管理 Domino® 用户时配置用户名映射

如果主要是通过 Active Directory 来管理 HCL Domino®用户信息,请按照本主题中的步骤来配置 Windows 单点登录环境的用户名映射。此配置需要将用户的 HCL Notes®专有名称添加到 Active Directory 用户帐户。

过程

  1. 在目录辅助数据库中,创建 LDAP 目录辅助文档以便用于连接到 Active Directory 服务器。
    1. LDAP 目录辅助文档中的重要字段

    Tab

    字段

    注释

    基本

    使此域适用于

    Notes® 客户机和因特网认证/授权
    • 必需
    • LDAP 客户机可选

    基本

    组授权

    “是”或“否”

    如果要在数据库 ACL 中使用 Active Directory 组,请选择

    基本

    用作 SSO 令牌的属性

    $DN
    • 仅当存在根据 Active Directory 进行用户认证的 IBM® WebSphere® SSO 服务器时才是必需的,这样用户的 LTPA 令牌就可包含他们的 Active Directory 名称。
    • 需要在“Web SSO 配置”文档中启用映射 LTPA 令牌中的名称
    • 确保对依据 Active Directory 验证用户的服务进行适当的 SSO 操作。

    “基本”-“SSO 配置”

    Windows Web 客户机的 单点登录

    已启用

    根据用户 Active Directory 登录 (Kerberos) 名称启用有效的名称查找。与用作 Notes 专有名称的属性组合使用可使用户的 Kerberos 身份与 Domino® 名称相关联。

    “基本”-“SSO 配置”

    Kerberos 域

    Active Directory 域

    以大写字符指定,例如 AD.RENOVATIONS.COM。

    命名上下文(规则)

    按凭证信任

    LDAP

    用作 Notes® 专有名称的属性

    		 attribute
    • Active Directory 中存储用户 Notes® 专有名称的属性。
    • 如果没有已包含 Notes® 专有名称的现有属性,可能需要目录管理员扩展 Active Directory 模式来为此名称添加属性。或者,还可以使用 altSecurityIdentities 属性(如果还没有用于其他用途)。
    • IBM® Tivoli® Directory Integrator等目录同步工具可用于在属性中填充 Notes® 名称。
    • 存储在属性中的值必须符合有效的专有名称的语法。在 Active Directory 中,Notes® 名称中使用 LDAP 逗号 (,) 分隔符,而不使用 Notes® 正斜杠 (/) 分隔符,例如:
    cn=Betty Zechman,ou=Marketing,o=Renovations

    而非

    cn=Betty Zechman/ou=Marketing/o=Renovations
    • 用于将此 Active Directory 记录链接到 Notes® 专用名称,以确定用户对 Domino® 资源的访问权。

    LDAP

    要使用的搜索过滤器类型

    Active Directory
  2. 如果用户在 Domino® 目录中有“个人”文档,请对其进行如下编辑。“个人”文档对于不属于 HCL iNotes®用户的 Web 用户是可选的。
    2. 在“个人”文档中编辑所需内容

    Tab

    字段

    注释

    基本

    因特网密码

    (HTTPPassword)

    无(建议)

    Or

    password-hash
    • 如果需要,除去密码,以便对需要用户密码验证的因特网访问使用用户 Active Directory 密码。
    • 除去密码后,设置目录访问权以阻止用户自己添加密码。
    • 除去密码后,遇到 Windows 单点登录不可用的情况时,Domino® 会验证 Active Directory 中的用户密码。
  3. 如果用户有 Domino®“个人”文档,但其中并不包括用户的 Domino® 因特网密码,请在用户有效的“安全性设置策略”文档中禁用以下因特网密码设置:
    3. 要在用户有效的“安全性设置策略”文档中禁用的设置

    Tab

    字段

    注释

    密码管理基本

    允许用户通过 HTTP 更改因特网密码

    缺省行为是“是”。如果未对用户指定“安全性设置”策略文档,那么创建一个文档以便更改缺省行为。

    密码管理基本

    Notes® 客户机密码更改时更新因特网密码

    密码管理基本

    强制密码到期

    禁用或仅限 Notes®
  4. 在参与 Domino® 服务器的“服务器”文档的安全性 > 因特网访问选项卡上,对于因特网认证,选择较少名称变化,较高安全性
  5. 如果有些 SSO 服务器根据 Active Directory 验证用户,那么在“Web SSO 配置”文档中指定以下设置:
    4. Web SSO 配置设置

    Tab

    字段

    注释

    “基本”-“令牌配置”

    映射 LTPA 令牌中的名称

    已启用
    • 用于将 SSO LTPA 令牌中的 Active Directory 专有名称映射到 Notes® 专有名称,以确定用户对 Domino® 资源的访问权。
    • 用于确保在根据 Active Directory 认证用户的服务器上正常使用 SSO。