为跨域 TOTP 认证配置辅助域

完成以下步骤以配置辅助域的 TOTP 认证。

关于此任务

此过程将 Domain1 用作主域名,将 Domain2 用作辅助域名。

过程

  1. 将以下 notes.ini 设置添加到 Domain2 中的所有 Web 服务器以及 Domain2 中的标识符保险库服务器:
    ENABLE_IDV_CROSSDOMAIN_AUTHENTICATION=1
  2. 确保 Domain2 Domino 目录在可建立信任关系的 Domain1 /Org 的 /Org 级别具有 Notes 交叉证书。
  3. 在 Domain2 的标识符保险库服务器上创建 Domain1 Domino 目录的副本。
  4. 在 Domain2 的标识符保险库服务器上配置目录辅助,以在 Domain1 Domino 目录的本地副本中查找名称。
    1. 在 Domain2 的标识符保险库服务器上创建目录辅助数据库(如果尚未创建)。
    2. 为 Domain1 Domino 目录添加目录辅助文档。文档中的以下字段是必填字段。
      基本选项卡上:
      • 域类型 选择 Notes
      • 域名 指定辅助目录的 Domino 域。
      • 使此域适用于 选择 Notes 客户机和因特网认证/授权
      • 已启用 选择

      命名上下文(规则)选项卡上, 为至少一个适用于主域的规则选择已启用 > 按凭证信任 > 。您可以使用缺省 N.C. 1 规则。

      Domino 选项卡上,指定您在 Domain2 的标识符保险库服务器上创建的 Domain1 Domino 目录的副本。

      有关其他信息,请参阅为 Domino 目录或扩展目录编目创建“目录辅助”文档

    3. 在标识符保险库服务器的 Domino 服务器控制台中,运行命令 sh xdir 以验证配置。您应该会看到类似以下输出的输出: 
      [11A4:0006-105C]  DomainName      DirectoryType         ClientProtocol Replica/LDAP Server
[11A4:0006-105C]    --------------- --------------------- -------------- -----------------------
[11A4:007C-105C]  1 Domain2        Primary-Notes         Notes & LDAP   names.nsf
[11A4:007C-105C]  2 Domain1        Secondary-Notes       Notes          names-server1.nsf
  5. 从标识符保险库服务器的服务器控制台运行两次以下命令,为 Domain1 Org 和 Domain2 Org 创建多因素认证证书。 
    mfamgmt create trustcert <Notes DN to allow>  <certifier ID file>  <certifier password>
    例如: 
    mfamgmt create trustcert */O=Org1  cert.id  sr$1ulxl47o 
mfamgmt create trustcert */O=Org2  cert.id  tr$polx3p98
    证书在 Domain2 Domino 目录中创建。
  6. 将 Domain2 Domino 目录和目录辅助数据库复制到 Domain2 中所有参与的标识符保险库服务器。