Synchronisation des mots de passe Active Directory
Cette fonction applique les mots de passe Windows des utilisateurs enregistrés dans un domaine Active Directory à leurs mots de passe HTTP Domino et/ou ID Notes.
Lorsqu'un utilisateur dont les informations Active Directory sont synchronisées sur Domino modifie son mot de passe de domaine Windows, un filtre de mot de passe Domino qui est installé et qui s'exécute sur un contrôleur de domaine Active Directory crée une demande de modification de mot de passe. Le filtre de mot de passe Domino envoie la demande vers un serveur Domino du domaine désigné comme Traitement de demande. Le traitement de demande traite la demande de modification de mot de passe en appliquant le nouveau mot de passe au mot de passe HTTP de l'utilisateur, au mot de passe ID Notes dans le coffre d'ID ou aux deux mots de passe.
Cette fonction est principalement utile pour les environnements qui n'utilisent pas l'authentification SAML et qui souhaitent déverrouiller les ID Notes et leur appliquer les mots de passe Active Directory. Par exemple, les utilisateurs mobiles d'HCL Nomad peuvent en bénéficier, tout comme les utilisateurs déconnectés et hors ligne qui ne peuvent pas se connecter à un contrôleur de domaine Active Directory.
Cette fonction requiert la possibilité d'extraire des mots de passe d'Active Directory afin de réappliquer les mots de passe aux ID Notes dans le coffre. Microsoft fournit un appel d'API exactement à cet effet. Cette API ne peut être utilisée qu'à partir d'un logiciel installé sur le contrôleur de domaine Active Directory, c'est pourquoi Domino y est installé pour cette fonction.
- Utilisateurs HCL Notes, HCL Nomad, HCL Verse et HCL iNotes enregistrés accédant aux serveurs Domino avec des mots de passe HTTP ou des ID Notes.
- Utilisateurs Web qui ne sont pas enregistrés dans Domino, mais qui ont des documents Personne dans l'annuaire Domino servant à accéder aux applications Web Domino avec des mots de passe HTTP.
Configuration requise
- La synchronisation de répertoires doit être activée avec les informations Active Directory des utilisateurs synchronisées dans l'annuaire Domino principal.
- Vous devez enregistrer un serveur Domino pour chaque contrôleur de domaine Active Directory qui enverra les modifications de mot de passe à Domino et l'installera en tant que serveur Domino Utility Server sur le contrôleur de domaine. Les ID serveur de ces serveurs sont utilisés sur les contrôleurs de domaine Active Directory pour créer et transférer des demandes de modification de mot de passe. Le serveur Domino ne s'exécute pas sur les contrôleurs de domaine Active Directory après la configuration initiale.
- Plusieurs domaines Active Directory peuvent envoyer des modifications à un domaine Domino. Toutefois, un domaine Active Directory ne peut pas envoyer de modifications à plusieurs domaines Domino.
- La synchronisation des mots de passe pour les ID Notes nécessite que les ID se trouvent dans un coffre d'ID.
- Tous les mots de passe peuvent être synchronisés, à l'exception de ceux qui commencent par des parenthèses ouvertes. Par exemple, le mot de passe
(mypasswordne peut pas être synchronisé. Si un utilisateur dont le mot de passe est synchronisé tente de le modifier en mot de passe commençant par une parenthèse ouverte, Windows affiche une erreur indiquant qu'il ne répond pas aux exigences et que la modification n'est pas autorisée.
- La fonction d'ouverture de session unique du client Notes est obsolète dans Domino 12, mais si elle est utilisée sur des clients antérieurs à Notes 12, elle n'est pas compatible avec la synchronisation des mots de passe.
- Si les utilisateurs modifient leurs mots de passe ID Notes via Notes ou que les administrateurs réinitialisent les mots de passe ID Notes, les nouveaux mots de passe remplacent les mots de passe Windows modifiés via la synchronisation des mots de passe jusqu'à la modification suivante du mot de passe Windows.