Active Directory 密码同步

此功能将在 Active Directory 域中注册的用户 Windows 密码应用于其 Domino HTTP 和/或 Notes 标识密码。

当 Active Directory 信息同步到 Domino 的用户更改其 Windows 域密码时,在 Active Directory 域控制器上安装并运行的 Domino 密码过滤器将创建密码更改请求。Domino 密码过滤器将该请求推送到域中指定为请求处理器的 Domino 服务器。请求处理器通过将新密码应用于用户的 HTTP 密码和/或标识符保险库中的 Notes 标识密码来处理密码更改请求。

此功能主要对于不使用 SAML 认证的环境有用,这些环境希望解锁 Notes 标识并应用 Active Directory 密码。例如,HCL Nomad 移动用户可以从这一点受益,因为无法连接到 Active Directory 域控制器的脱机用户可以断开连接。

此功能需要能够从 Active Directory 提取密码,以将密码重新应用于保险库中的 Notes 标识。Microsoft 提供了一个完全符合此目的的 API 调用。此 API 只能从 Active Directory 域控制器上安装的软件使用,这就是安装 Domino 用于此功能的原因。

注: Domino 用于获取 Active Directory 密码的实现是唯一可用的安全方法。不能使用 LDAP 协议。
以下用户支持密码同步:
  • 使用 HTTP 密码或 Notes 标识访问 Domino 服务器的已注册 HCL Notes、HCL Nomad、HCL Verse 和 HCL iNotes 用户。
  • 未在 Domino 中注册但在 Domino 目录中拥有“个人”文档的 Web 用户,这些文档用于使用 HTTP 密码访问 Domino Web 应用程序。

需求

  • Active Directory 信息同步到主 Domino 目录的用户必须启用目录同步。
  • 您必须为每个 Active Directory 域控制器注册一个 Domino 服务器(用于向 Domino 发送密码更改),并将其安装为域控制器上的 Domino Utility Server。在 Active Directory 域控制器上使用这些服务器的服务器标识来创建和传输密码更改请求。初始设置后, Domino 服务器便不在 Active Directory 域控制器上运行。
  • 多个 Active Directory 域可以向一个 Domino 域发送更改。但是,一个 Active Directory 域无法向多个 Domino 域发送更改。
  • 同步 Notes 标识密码要求标识必须位于标识符保险库中。
  • 所有密码都可以同步,但以左圆括号开头的密码除外。例如,无法同步密码 (mypassword。如果同步了密码的用户尝试更改为以左圆括号开头的密码,那么 Windows 将显示一条错误,指出该密码不符合要求且不允许更改。
注:
  • Domino 12 中已弃用 Notes 客户机单点登录功能,但是如果在 Notes 12 之前的客户机中使用了此功能,那么它与密码同步不兼容。
  • 如果用户通过 Notes 更改其 Notes 标识密码,或者管理员重置 Notes 标识密码,那么在下次更改 Windows 密码之前新密码会覆盖通过密码同步更改的 Windows 密码。