密码同步处理流程
以下是将 Active Directory 中 Windows 用户的新密码推送到“个人”文档中的 HTTP 密码字段以及标识符保险库中的 Notes 标识所采取的步骤。
这是从 Active Directory 到 Domino 的单向过程。在 Domino 中进行的密码更改无法推送到 Active Directory。
在 Active Directory 域控制器上采取的步骤
- 在域控制器上运行的本地安全机构 (LSA) 进程接收 Windows 密码更改请求,然后在 Active Directory 中处理该请求。
- LSA 将用户名和新密码传递给在域控制器上运行的 Domino 密码库。
- Domino 密码库在 Active Directory 中查找该用户的 objectGUID 值,并使用目录辅助在 Domino 目录中查找 objectGUID 值。如果找不到该值,那么处理将停止。
- 如果在 Domino 目录中找到 objectGUID 值,那么 Domino 密码库会在其本地密码更改请求数据库中创建一个文档。该文档包含 objectGUID 值和安全存储的密码。
- Domino 密码库会定期检查密码更改请求数据库中的新请求。当找到请求时,它会搜索其存储的请求处理器服务器列表,并会依次尝试在每个服务器上打开密码请求存储数据库,直到能够打开一个为止。
- Domino 密码库会将在其存储数据库中找到的每个请求复制到请求处理器服务器上的存储数据库。然后,它会从其本地数据库中删除该文档。如果无法在任何请求处理器服务器上打开该数据库,新文档将保留在本地密码更改请求数据库中,并且密码库会继续尝试传输任何请求。如果它无法在其使用的“配置设置”文档的请求到期时间字段中指定的时间内复制请求,那么它会删除请求文档。
Domino 请求处理器采取的步骤
- Domino 域中的请求处理器服务器会定期检查其密码更改请求数据库中的未处理请求。当服务器找到密码更改请求时,它会使用该请求中的 objectGUID 值在 Domino 目录中查找相应用户。如果查找失败,那么将删除请求文档。
- 如果请求处理器服务器配置为同步 HTTP 密码,那么它会更改管理服务器上 Domino 目录中该用户的“个人”文档中的 HTTP 密码。如果管理服务器不可用,那么服务器会定期重试提交请求。如果它无法在其使用的“配置设置”文档的请求到期时间字段中指定的时间内提交请求,那么它会删除请求文档。如果 HTTP 密码更改失败,那么将不会在下一步中更改 Notes 标识密码。
- 如果请求处理器服务器配置为同步标识符保险库中的 Notes 标识密码,那么它会重置标识符保险库中的 Notes 标识密码。如果 Notes 标识密码更改失败,那么将会回滚任何 HTTP 密码更改。