通过 Domino® 目录管理 Domino® 用户时配置用户名映射
如果主要是通过 Domino® 目录来管理 HCL Domino® 用户信息,请按照本主题中的步骤来配置 Windows™ 单点登录环境的用户名映射。您可能需要使用 IBM® Tivoli® Directory Integrator等目录同步工具将所需的 Active Directory 信息填充到 Domino® 中。
关于此任务
- 步骤 1 中的在 Domino® 个人文档中的“因特网密码”(HTTP 密码)字段中指定密码是可选的。IBM® 应用程序管理的 Web 客户机的 Windows™ 单点登录和因特网认证都不使用此字段。
- 如果应用程序始终代表用户创建 LTPA 令牌,那么步骤 1 和步骤 2 中的 LTPA 用户名字段可以选择性填写。
过程
- 对参与 Domino® 目录的 Web 用户“个人”文档执行以下编辑。
表 1. 编辑 Web 用户的“个人”文档 Tab 键
字段
值
注释
基本
用户名
(FullName)
两部分组成的 Active Directory 登录名
- 指定用户 Active Directory 帐户用户界面中显示的登录名。
- 在此字段中指定第三个名称或后续名称。
- 对第一个名称部分使用 Active Directory 中显示的精确的大小写形式。无论 Active Directory 中显示的大小写形式,第二个名称部分都使用大写字母。
例如:bzechman@AD1.SUBNET2.RENOVATIONS.COM
- 还可选择将名称添加到 krbPrincipalName 字段。
- 用于将该“个人”记录链接到 Active Directory Kerberos 标识。
基本
用户名 (FullName)
用户在 Active Directory 中的专有名称
- 仅当存在根据 Active Directory 进行用户认证的 IBM® WebSphere® SSO 服务器时才是必需的,这样用户的 LTPA 令牌就可包含他们的 Active Directory 名称。
- 将该名称添加到字段中已存在的其他名称后面。
- 使用 Active Directory 中所用的精确的大小写形式。
- 在 Active Directory 名称中使用 HCL Notes®正斜杠 (/) 分隔符,而不使用 LDAP 逗号 (,) 分隔符,例如:
uid=bzechman/ou=marketing/dc=renovations/dc=com
而非
uid=bzechman,ou=marketing,dc=renovations,dc=com
- 用于将 SSO LTPA 令牌中的 Active Directory 专有名称映射到 Notes® 专有名称,以确定用户对 Domino® 资源的访问权。
基本
因特网密码 (HTTPPassword)
password-hash - 如果 Domino® 使用目录辅助连接到 Active Directory 服务器,那么该用户密码必须与 Active Directory 中的用户密码不同。
- 启用 Domino®,以便在 Windows™ 单点登录不可用的情况下,验证 Domino® 目录中的用户密码。
管理(客户机信息部分)
Active Directory (Kerberos) 登录名
(krbPrincipalName)
两部分组成的 Active Directory 登录名
- 对此字段可选。
- 指定用户 Active Directory 帐户用户界面中显示的登录名。
- 有关此名称的详细信息,请参阅本表第一行。
- 如果指定此字段,请将以下设置添加到服务器 NOTES.INI 文件,以便能够在 Domino® 目录或在通过目录辅助访问的任何辅助目录的此字段中找到值。
WIDE_SEARCH_FOR_KERBEROS_NAMES=1
- 如果指定此字段,请为 Domino® 目录创建全文索引以优化此字段的搜索。
管理(客户机信息部分)
LTPA 用户名
用户在 Active Directory 中的专有名称
- 仅当存在根据 Active Directory 进行用户认证的 IBM® WebSphere® SSO 服务器时才是必需的,这样用户的 LTPA 令牌就可包含他们的 Active Directory 名称。
- 用于将 SSO LTPA 令牌中的 Active Directory 专有名称映射到 Notes® 专有名称,以确定用户对 Domino® 资源的访问权。
- 如果有些 SSO 服务器根据 Active Directory 验证用户,那么在“Web SSO 配置”文档中指定以下设置:
表 2. Web SSO 配置设置 Tab 键
字段
值
注释
“基本”-“令牌配置”
映射 LTPA 令牌中的名称
启用
- 确保对依据 Active Directory 验证用户的服务进行适当的 SSO 操作。