透過 Active Directory 管理 Domino® 使用者時,配置使用者名稱對映

如果主要是透過 Active Directory 來管理 HCL Domino® 使用者資訊,請依照本主題中的步驟,為 Windows 單一登入環境配置使用者名稱對映。此配置需要您將使用者的 HCL Notes® 識別名稱新增至 Active Directory 使用者帳戶。

程序

  1. 在目錄協助資料庫中,建立 LDAP 目錄協助文件,以連接至 Active Directory 伺服器。
    1. LDAP 目錄協助文件中的重要欄位

    Tab

    欄位

    註解

    基本

    這個網域可用於

    Notes® 用戶端及網際網路鑑別/授權
    • 必要的
    • 「LDAP 用戶端」為選用

    基本

    群組授權

    「是」或「否」

    如果您要在資料庫ACL 中使用 Active Directory 群組,請選取「是」

    基本

    在 SSO 記號中要當作名稱使用的屬性

    $DN
    • 只有 IBM® WebSphere® SSO 伺服器正依據 Active Directory 鑑別使用者時才需要,以讓使用者的 LTPA 記號包含其 Active Directory 名稱。
    • 需要在「網路SSO 配置」文件中啟用「對映 LTPA 記號」中的名稱。
    • 確保 SSO 在依據 Active Directory 鑑別使用者的伺服器上正確運作。

    基本 - SSO 配置

    Windows網路用戶端的單一登入

    已啟用

    啟用以使用者 Active Directory 登入 (Kerberos) 名稱為依據的有效率名稱查閱。與「要用來作為 Notes 識別名稱的屬性」結合,容許使用者的 Kerberos 身分與 Domino® 名稱相關聯。

    基本 - SSO 配置

    Kerberos 領域

    Active Directory 網域

    指定使用大寫字元,例如,AD.RENOVATIONS.COM。

    命名環境定義 (規則)

    授信認證

    LDAP

    作為 Notes® 識別名稱的屬性

    		 attribute
    • Active Directory 中的屬性,用來儲存使用者的 Notes® 識別名稱。
    • 如果沒有任何現有屬性已包含 Notes® 識別名稱,則目錄管理員可能必須擴充 Active Directory 綱目,來為此名稱新增屬性。另外,如果 altSecurityIdentities 屬性尚未作為另一用途使用,則可使用此屬性。
    • 可使用 IBM® Tivoli® Directory Integrator 這類目錄同步化工具,以 Notes® 名稱移入屬性。
    • 儲存在此屬性中的值必須遵守有效的識別名稱語法。在 Active Directory 中,使用 Notes® 名稱中的逗點 (,) 分隔字元,而非 Notes® 正斜線 (/) 分隔字元,例如:
    cn=Betty Zechman,ou=Marketing,o=Renovations

    而非

    cn=Betty Zechman/ou=Marketing/o=Renovations
    • 用來將此 Active Directory 記錄鏈結至 Notes® 識別名稱,以決定使用者對 Domino® 資源的存取權。

    LDAP

    要使用的搜尋過濾器類型

    Active Directory
  2. 如果使用者在「Domino® 名錄」中有「人員」文件,請對文件進行下列編輯。「人員」文件對於非 HCL iNotes® 使用者的網路使用者而言是選用項目。
    2. 人員文件中所需的編輯項目

    Tab

    欄位

    註解

    基本

    網際網路密碼

    (HTTPPassword)

    無(建議)

    password-hash
    • 如有需要,可移除密碼,改以使用者的 Active Directory 密碼來進行需要使用者密碼驗證的網際網路存取。
    • 如果移除密碼,請設定目錄存取權,以防使用者自行新增密碼。
    • 移除密碼時,Domino® 會在 Windows 單一登入無法使用時,驗證 Active Directory 中的使用者密碼。
  3. 如果使用者有 Domino®「人員」文件,但您未將其 Domino® 網際網路密碼包含在文件中,請在使用者的有效「安全設定」原則文件中,停用下列網際網路密碼設定:
    3. 使用者的有效「安全設定」原則文件中停用的設定

    Tab

    欄位

    註解

    密碼管理基礎

    允許使用者透過 HTTP 變更網際網路密碼

    預設行為是「是」。如果未指定任何「安全設定」原則文件給使用者,可建立一個來變更預設行為。

    密碼管理基礎

    Notes® 用戶端密碼變更時,更新網際網路密碼

    密碼管理基礎

    強制密碼到期

    已停用或僅 Notes®
  4. 在參與 Domino® 伺服器的「伺服器」文件的「安全 > 網際網路存取」標籤上,針對「網際網路鑑別」選取「較少的名稱變化配合較高的安全性」
  5. 如果部分 SSO 伺服器正在根據 Active Directory 鑑別使用者,請在「網路SSO 配置」文件中指定下列設定:
    4. 網路SSO 配置設定

    Tab

    欄位

    註解

    基本 - 記號配置

    對映 LTPA 記號中的名稱

    已啟用
    • 用來將 SSO LTPA 記號中的 Active Directory 識別名稱對映到 Notes® 識別名稱,以決定使用者對 Domino® 資源的存取權。
    • 用於確保 SSO 在根據 Active Directory 鑑別使用者的伺服器上正常運作。