在網路用戶端環境的 Windows™ 單一登入中,配置使用者名稱對映
參與網路用戶端的 Windows™ 單一登入網路使用者,具有 Active Directory 中的帳戶。他們在「Domino® 名錄」中通常也擁有「人員」文件。您可以配置使用者名稱對映,讓 HCL Domino® 伺服器調整在這兩個目錄中找到的使用者名稱。
使用者名稱對映可達成三項目的。首先,當 Domino® 伺服器在 Active Directory 中發現使用者的 LDAP 識別名稱,並在 Domino® 名錄中發現使用者的 HCL Notes® 識別名稱 (DN) 時,它可讓伺服器驗證這兩個名稱是否都屬於該同一使用者。若要鏈結兩個名稱,伺服器會驗證使用者在 Active Directory 使用者帳戶中的 mail 屬性值,是否與「人員」文件的「網際網路位址」值相同。
其次,可能需要名稱對映以判斷使用者的 Notes® 識別名稱。在部分伺服器不使用「Domino® 名錄」,但專門使用 Active Directory 的 SSO 環境中,使用者的 LTPA 記號包含該使用者的 Active Directory 識別名稱。例如,IBM® WebSphere® 應用程式伺服器伺服器可能是針對使用者儲存庫配置為使用 Active Directory。在此環境下,LTPA 記號通常包含網路使用者的 Active Directory 識別名稱。因為 Domino® 資料庫上的 ACL 通常會參照網路使用者的 Notes® 識別名稱,所以您必須將 LTPA 記號中的 Active Directory 識別名稱對映至 Notes® 識別名稱,讓 Domino® 伺服器能夠判定網路使用者對其資料庫的存取權。如果已配置 LTPA 記號來包含使用者的 Notes® 識別名稱(使用 Domino® SSO 金鑰時的預設值),而非從 WebSphere® 匯入的 SSO 金鑰時,則此步驟為非必要。
最後,使用者名稱對映會指定當無法使用 Windows™ 單一登入,而使用者若要連接 SSO 網域的伺服器則必須進行初始登入時,要使用哪個目錄來驗證使用者密碼。Windows™ 單一登入不適用於:
- 透過網際網路進行連接的網路用戶端
- 透過內部網路進行連接,但未進行 Windows™ 單一登入設定的網路用戶端
- 透過內部網路進行連接,且設定使用 Windows™ 單一登入,但未登入 Active Directory 網域的網路用戶端
- 在 Domino®網路伺服器電腦上執行的網路用戶端
配置名稱對映的方法
配置使用者名稱對映的方法,需視您是透過 Active Directory 還是「Domino® 名錄」來管理使用者而定。您應考慮哪種目錄較方便您執行修改及維護。如果您使用不同的鑑別應用程式來鑑別網際網路使用者,也可使目錄修改作業減至最少。