Configuration du domaine secondaire pour l'authentification TOTP interdomaine

Pour configurer l'authentification TOTP pour le domaine secondaire, complétez ces étapes.

Pourquoi et quand exécuter cette tâche

Cette procédure utilise Domain1 comme nom de domaine principal et Domain2 comme nom de domaine secondaire.

Procédure

  1. Ajoutez le paramètre notes.ini suivant à tous les serveurs Web dans Domain2 et au serveur de coffre d'ID dans Domain2 :
    ENABLE_IDV_CROSSDOMAIN_AUTHENTICATION=1
  2. Assurez-vous que le répertoire Domino Domain2 dispose d'un certificat croisé Notes au niveau /Org pour Domain1 /Org qui établit une relation de confiance.
  3. Créez une réplique du répertoire Domino Domain1 sur le serveur du coffre d'ID pour Domain2.
  4. Configurez Directory Assistance sur le serveur du coffre d'ID pour Domain2 afin de rechercher des noms dans sa réplique locale du répertoire Domino Domain1.
    1. Créez une base de données Directory Assistance (si elle n'est pas déjà créée) sur le serveur de coffre ID pour Domain2.
    2. Ajoutez un document Directory Assistance pour le répertoire Domino Domain1. Les champs suivants du document sont obligatoires.
      Sous l'onglet Général :
      • Type de domaine Sélectionnez Notes.
      • Nom de domaine Spécifiez le domaine Domino du répertoire secondaire.
      • Rendre ce domaine disponible pour Sélectionnez Clients Notes et authentification/autorisation Internet.
      • Activé Sélectionnez Oui.

      Dans l'onglet Contextes de dénomination (règles), sélectionnez Activé > Oui et Données d'identification sécurisées > Oui pour au moins une règle qui s'applique au domaine principal. Vous pouvez utiliser la règle N.C. 1 par défaut.

      Dans l'onglet Domino, spécifiez la réplique du répertoire Domino Domain1 que vous avez créée sur le serveur de coffre ID dans Domain2.

      Pour plus d'informations, voir l'Création d'un document d'assistance d'annuaire pour un annuaire ou un catalogue d'annuaires étendu Domino.

    3. Sur la console du serveur Domino du serveur du coffre d'ID, exécutez la commande sh xdir pour vérifier la configuration. Vous devez voir une sortie similaire à la suivante : 
      [11A4:0006-105C]  DomainName      DirectoryType         ClientProtocol Replica/LDAP Server
[11A4:0006-105C]    --------------- --------------------- -------------- -----------------------
[11A4:007C-105C]  1 Domain2        Primary-Notes         Notes & LDAP   names.nsf
[11A4:007C-105C]  2 Domain1        Secondary-Notes       Notes          names-server1.nsf
  5. Exécutez deux fois la commande suivante à partir de la console du serveur du coffre d'ID afin de créer des certificats d'authentification à plusieurs facteurs pour Domain1 Org et Domain2 Org. 
    mfamgmt create trustcert <Notes DN to allow>  <certifier ID file>  <certifier password>
    Par exemple : 
    mfamgmt create trustcert */O=Org1  cert.id  sr$1ulxl47o 
mfamgmt create trustcert */O=Org2  cert.id  tr$polx3p98
    Les certificats sont créés dans le répertoire Domino Domain2.
  6. Répliquez le répertoire Domino Domain2 et la base de données Directory Assistance sur tous les serveurs de coffre d'ID participants dans Domain2.