通过 Active Directory 管理 Domino® 用户时配置用户名映射
如果主要是通过 Active Directory 来管理 HCL Domino®用户信息,请按照本主题中的步骤来配置 Windows™ 单点登录环境的用户名映射。此配置需要将用户的 HCL Notes®专有名称添加到 Active Directory 用户帐户。
过程
- 在目录辅助数据库中,创建 LDAP 目录辅助文档以便用于连接到 Active Directory 服务器。
表 1. LDAP 目录辅助文档中的重要字段 Tab 键
字段
值
注释
基本
使此域适用于
Notes® 客户机和因特网认证/授权
- 必需
- LDAP 客户机可选
基本
组授权
“是”或“否”
如果要在数据库 ACL 中使用 Active Directory 组,请选择是。
基本
用作 SSO 令牌的属性
$DN
- 仅当存在根据 Active Directory 进行用户认证的 IBM® WebSphere® SSO 服务器时才是必需的,这样用户的 LTPA 令牌就可包含他们的 Active Directory 名称。
- 需要在“Web SSO 配置”文档中启用映射 LTPA 令牌中的名称。
- 确保对依据 Active Directory 验证用户的服务进行适当的 SSO 操作。
“基本”-“SSO 配置”
Windows™ Web 客户机的 单点登录
启用
根据用户 Active Directory 登录 (Kerberos) 名称启用有效的名称查找。与用作 Notes 专有名称的属性组合使用可使用户的 Kerberos 身份与 Domino® 名称相关联。
“基本”-“SSO 配置”
Kerberos 域
Active Directory 域
以大写字符指定,例如 AD.RENOVATIONS.COM。
命名上下文(规则)
按凭证信任
是
LDAP
用作 Notes® 专有名称的属性
attribute - Active Directory 中存储用户 Notes® 专有名称的属性。
- 如果没有已包含 Notes® 专有名称的现有属性,可能需要目录管理员扩展 Active Directory 模式来为此名称添加属性。或者,还可以使用
altSecurityIdentities
属性(如果还没有用于其他用途)。 - IBM® Tivoli® Directory Integrator等目录同步工具可用于在属性中填充 Notes® 名称。
- 存储在属性中的值必须符合有效的专有名称的语法。在 Active Directory 中,Notes® 名称中使用 LDAP 逗号 (,) 分隔符,而不使用 Notes® 正斜杠 (/) 分隔符,例如:
cn=Betty Zechman,ou=Marketing,o=Renovations
而非
cn=Betty Zechman/ou=Marketing/o=Renovations
- 用于将此 Active Directory 记录链接到 Notes® 专用名称,以确定用户对 Domino® 资源的访问权。
LDAP
要使用的搜索过滤器类型
Active Directory
- 如果用户在 Domino® 目录中有“个人”文档,请对其进行如下编辑。“个人”文档对于不属于 HCL iNotes®用户的 Web 用户是可选的。
表 2. 在“个人”文档中编辑所需内容 Tab 键
字段
值
注释
基本
因特网密码
(HTTPPassword)
无(建议)
Or
password-hash
- 如果需要,除去密码,以便对需要用户密码验证的因特网访问使用用户 Active Directory 密码。
- 除去密码后,设置目录访问权以阻止用户自己添加密码。
- 除去密码后,遇到 Windows™ 单点登录不可用的情况时,Domino® 会验证 Active Directory 中的用户密码。
- 如果用户有 Domino®“个人”文档,但其中并不包括用户的 Domino® 因特网密码,请在用户有效的“安全性设置策略”文档中禁用以下因特网密码设置:
表 3. 要在用户有效的“安全性设置策略”文档中禁用的设置 Tab 键
字段
值
注释
密码管理基本
允许用户通过 HTTP 更改因特网密码
否
缺省行为是“是”。如果未对用户指定“安全性设置”策略文档,那么创建一个文档以便更改缺省行为。
密码管理基本
当 Notes® 客户机密码更改时更新因特网密码
否
密码管理基本
强制密码到期
禁用或仅限 Notes®
- 在参与 Domino® 服务器的“服务器”文档的 选项卡上,对于因特网认证,选择较少名称变化,较高安全性。
- 如果有些 SSO 服务器根据 Active Directory 验证用户,那么在“Web SSO 配置”文档中指定以下设置:
表 4. Web SSO 配置设置 Tab 键
字段
值
注释
“基本”-“令牌配置”
映射 LTPA 令牌中的名称
启用
- 用于将 SSO LTPA 令牌中的 Active Directory 专有名称映射到 Notes® 专有名称,以确定用户对 Domino® 资源的访问权。
- 用于确保在根据 Active Directory 认证用户的服务器上正常使用 SSO。