通过 Domino® 目录管理 Domino® 用户时配置用户名映射

如果主要是通过 Domino® 目录来管理 HCL Domino® 用户信息,请按照本主题中的步骤来配置 Windows 单点登录环境的用户名映射。您可能需要使用 IBM® Tivoli® Directory Integrator等目录同步工具将所需的 Active Directory 信息填充到 Domino® 中。

关于此任务

如果使用单独应用程序(例如,IBM® Tivoli® Access Manager WebSEAL 逆向代理或 IBM® WebSphere® DataPower® 安全网关)管理 Domino® 的因特网访问,那么可根据用户的 Active Directory 记录(而非 Domino® 个人文档)对因特网用户进行认证。在这种情况下:
  • 步骤 1 中的在 Domino® 个人文档中的“因特网密码”(HTTP 密码)字段中指定密码是可选的。IBM® 应用程序管理的 Web 客户机的 Windows 单点登录和因特网认证都不使用此字段。
  • 如果应用程序始终代表用户创建 LTPA 令牌,那么步骤 1 和步骤 2 中的 LTPA 用户名字段可以选择性填写。

过程

  1. 对参与 Domino® 目录的 Web 用户“个人”文档执行以下编辑。
    1. 编辑 Web 用户的“个人”文档

    Tab

    字段

    注释

    基本

    用户名

    (FullName)

    两部分组成的 Active Directory 登录名
    • 指定用户 Active Directory 帐户用户界面中显示的登录名。
    • 在此字段中指定第三个名称或后续名称。
    • 对第一个名称部分使用 Active Directory 中显示的精确的大小写形式。无论 Active Directory 中显示的大小写形式,第二个名称部分都使用大写字母。

    例如:bzechman@AD1.SUBNET2.RENOVATIONS.COM

    • 还可选择将名称添加到 krbPrincipalName 字段。
    • 用于将该“个人”记录链接到 Active Directory Kerberos 标识。

    基本

    用户名 (FullName)

    用户在 Active Directory 中的专有名称

    • 仅当存在根据 Active Directory 进行用户认证的 IBM® WebSphere® SSO 服务器时才是必需的,这样用户的 LTPA 令牌就可包含他们的 Active Directory 名称。
    • 将该名称添加到字段中已存在的其他名称后面。
    • 使用 Active Directory 中所用的精确的大小写形式。
    • 在 Active Directory 名称中使用 HCL Notes®正斜杠 (/) 分隔符,而不使用 LDAP 逗号 (,) 分隔符,例如: 
    uid=bzechman/ou=marketing/dc=renovations/dc=com

    而非

    uid=bzechman,ou=marketing,dc=renovations,dc=com
    • 用于将 SSO LTPA 令牌中的 Active Directory 专有名称映射到 Notes® 专有名称,以确定用户对 Domino® 资源的访问权。

    基本

    因特网密码 (HTTPPassword)

    		 password-hash
    • 如果 Domino® 使用目录辅助连接到 Active Directory 服务器,那么该用户密码必须与 Active Directory 中的用户密码不同。
    • 启用 Domino®,以便在 Windows 单点登录不可用的情况下,验证 Domino® 目录中的用户密码。

    管理(客户机信息部分)

    Active Directory (Kerberos) 登录名

    (krbPrincipalName)

    两部分组成的 Active Directory 登录名
    • 对此字段可选。
    • 指定用户 Active Directory 帐户用户界面中显示的登录名。
    • 有关此名称的详细信息,请参阅本表第一行。
    • 如果指定此字段,请将以下设置添加到服务器 NOTES.INI 文件,以便能够在 Domino® 目录或在通过目录辅助访问的任何辅助目录的此字段中找到值。 
    WIDE_SEARCH_FOR_KERBEROS_NAMES=1
    • 如果指定此字段,请为 Domino® 目录创建全文索引以优化此字段的搜索。

    管理(客户机信息部分)

    LTPA 用户名

    用户在 Active Directory 中的专有名称
    • 仅当存在根据 Active Directory 进行用户认证的 IBM® WebSphere® SSO 服务器时才是必需的,这样用户的 LTPA 令牌就可包含他们的 Active Directory 名称。
    • 用于将 SSO LTPA 令牌中的 Active Directory 专有名称映射到 Notes® 专有名称,以确定用户对 Domino® 资源的访问权。
  2. 如果有些 SSO 服务器根据 Active Directory 验证用户,那么在“Web SSO 配置”文档中指定以下设置:
    2. Web SSO 配置设置

    Tab

    字段

    注释

    “基本”-“令牌配置”

    映射 LTPA 令牌中的名称

    已启用
    • 确保对依据 Active Directory 验证用户的服务进行适当的 SSO 操作。