透過 Domino® 名錄管理 Domino® 使用者時,配置使用者名稱對映

如果主要是透過 Domino® Directory 來管理 HCL Domino® 使用者資訊,請依照本主題中的步驟,為 Windows 單一登入環境配置使用者名稱對映。您可能想要使用 IBM® Tivoli® Directory Integrator 這類目錄同步化工具,以將必要的 Active Directory 資訊移入 Domino®

執行這項作業的原因和時機

如果使用個別應用程式來管理 Domino® 的網際網路存取,例如 IBM® Tivoli® 存取 Manager網路SEAL 反向 Proxy 或 IBM® WebSphere® DataPower® 安全閘道,可設定應用程式針對使用者的 Active Directory 記錄、而非 Domino®「人員」文件來鑑別網際網路使用者。在此情況下:
  • Domino®「人員」文件的網際網路密碼(HTTP 密碼)欄位中指定密碼,是步驟 1 的選用動作。網路用戶端的 Windows 單一登入或 IBM® 應用程式所管理的網際網路鑑別都不使用此欄位。
  • 如果應用程式一律代表使用者建立 LTPA 記號,則在步驟 1 和步驟 2 中完成「LTPA 使用者名稱」欄位是選用的動作。

程序

  1. 在「Domino® 名錄」中,對參與網路使用者的「人員」文件執行下列編輯。
    1. 對網路使用者的人員文件進行的編輯

    Tab

    欄位

    註解

    基本

    使用者名稱

    (FullName)

    兩部分 Active Directory 登入名稱
    • 指定使用者 Active Directory 帳戶使用者介面中所顯示的登入名稱。
    • 在此欄位中指定做為第三或後續名稱。
    • 第一個名稱部分使用 Active Directory 中顯示的確切字體。不論 Active Directory 中顯示的字體為何,對第二個名稱部分使用大寫。

    例如:bzechman@AD1.SUBNET2.RENOVATIONS.COM

    • 也可選擇性將名稱新增至「krbPrincipalName」欄位。
    • 用於將此「人員」記錄鏈結至 Active Directory Kerberos 身分。

    基本

    使用者名稱 (FullName)

    使用者在中 Active Directory 的識別名稱

    • 只有 IBM® WebSphere® SSO 伺服器正依據 Active Directory 鑑別使用者時才需要,以讓使用者的 LTPA 記號包含其 Active Directory 名稱。
    • 將此名稱新增至已存在於此欄位中的其他名稱之後。
    • 使用完全符合 Active Directory 中所用的字體。
    • 使用 Active Directory 名稱中的 HCL Notes® 正斜線 (/) 分隔字元,而非 LDAP 逗點 (,) 分隔字元,例如: 
    uid=bzechman/ou=marketing/dc=renovations/dc=com

    而非

    uid=bzechman,ou=marketing,dc=renovations,dc=com
    • 用來將 SSO LTPA 記號中的 Active Directory 識別名稱對映到 Notes® 識別名稱,以決定使用者對 Domino® 資源的存取權。

    基本

    網際網路密碼 (HTTPPassword)

    		 password-hash
    • 如果 Domino® 使用目錄協助來連接 Active Directory 伺服器,此使用者密碼必須與 Active Directory 中的使用者密碼不同。
    • Domino®Windows 單一登入無法使用時,驗證「Domino® 名錄」中的使用者密碼。

    管理(用戶端資訊區段)

    Active Directory (Kerberos) 登入名稱

    (krbPrincipalName)

    兩部分 Active Directory 登入名稱
    • 對此欄位而言為選用。
    • 指定使用者 Active Directory 帳戶使用者介面中所顯示的登入名稱。
    • 有關此名稱的詳細資訊,請參閱本表格的第一列。
    • 如果在此欄位中指定,請將下列設定新增至伺服器 NOTES.INI 檔案,以便該值可在「Domino® 名錄」的此欄位中,或透過目錄協助所存取的任何次要目錄中找到: 
    WIDE_SEARCH_FOR_KERBEROS_NAMES=1
    • 如果在此欄位中指定,請為「Domino® 名錄」建立全文索引,以最佳化此欄位的搜尋。

    管理(用戶端資訊區段)

    LTPA 使用者名稱

    使用者在中 Active Directory 的識別名稱
    • 只有 IBM® WebSphere® SSO 伺服器正依據 Active Directory 鑑別使用者時才需要,以讓使用者的 LTPA 記號包含其 Active Directory 名稱。
    • 用來將 SSO LTPA 記號中的 Active Directory 識別名稱對映到 Notes® 識別名稱,以決定使用者對 Domino® 資源的存取權。
  2. 如果部分 SSO 伺服器正在根據 Active Directory 鑑別使用者,請在「網路SSO 配置」文件中指定下列設定:
    2. 網路SSO 配置設定

    Tab

    欄位

    註解

    基本 - 記號配置

    對映 LTPA 記號中的名稱

    已啟用
    • 確保 SSO 在依據 Active Directory 鑑別使用者的伺服器上正確運作。