Active Directory 密碼同步
此功能會將 Active Directory 網域中註冊之使用者的 Windows 密碼套用到其 Domino HTTP 及/或 Notes ID 密碼。
當其 Active Directory 資訊同步到 Domino 的使用者變更其 Windows 網域密碼時,在 Active Directory 網域控制器上安裝並執行的 Domino 密碼過濾器會建立密碼變更要求。Domino 密碼過濾器會將這些要求推送至網域中指定為「要求處理器」的 Domino 伺服器。「要求處理器」會處理密碼變更要求,方法是將新密碼套用至使用者的 HTTP 密碼、ID 儲存庫中的 Notes ID 密碼或這兩個密碼。
此功能主要適用於不使用 SAML 鑑別的環境,這些環境會想要解除鎖定 Notes ID 並將 Active Directory 密碼套用至這些 ID。例如,HCL Nomad 行動使用者可以從中獲得好處,因為無法連接至 Active Directory 網域控制站的離線使用者可以切斷連線。
此功能需要從 Active Directory 擷取密碼的能力,才能將密碼重新套用至儲存庫中的 Notes ID。Microsoft 提供正是基於此目的的 API 呼叫。只能從安裝在 Active Directory 網域控制器上的軟體使用此 API,這就是為此功能將 Domino 安裝在該處的原因。
註: Domino 用來取得 Active Directory 密碼的實作是唯一可用的安全方法。無法使用 LDAP 通訊協定。
下列使用者支援密碼同步:
- 已註冊的 HCL Notes、HCL Nomad、HCL Verse 及 HCL iNotes 使用者,這些使用者會使用 HTTP 密碼或 Notes ID 存取 Domino 名錄。
- 未在 Domino 註冊但在 Domino 名錄中具有「人員」文件的 Web 使用者,而這些文件用於使用 HTTP 密碼存取 Domino Web 應用程式。
需求
- 必須啟用「目錄同步」,使用者的 Active Directory 資訊才會同步到主要 Domino 名錄。
- 您必須為每一個 Active Directory 網域控制器註冊一部 Domino 伺服器,而這些網域控制器會將密碼變更傳送至 Active Directory,並將該 Domino 伺服器安裝為網域控制器上的 Domino Utility Server。這些伺服器的伺服器 ID 用於 Active Directory 網域控制器,以建立並傳輸密碼變更要求。Domino 伺服器在起始設定之後不會在 Active Directory 網域控制器上執行。
- 多個 Active Directory 網域可以將變更傳送到一個 Domino 網域。不過,一個 Active Directory 網域無法將變更傳送到多個 Domino 網域。
- 同步 Notes ID 的密碼需要這些 ID 位於 ID 儲存庫中。
- 所有密碼都可以同步,但以左括弧開頭的密碼除外。例如,密碼
(mypassword無法同步。如果其密碼同步的使用者嘗試變更為以左括弧開頭的密碼,Windows 會顯示一個錯誤,說明它不符合需求,並且不容許變更。
註:
- 「Notes 用戶端單一登入」功能已在 Domino 12 中淘汰,但如果在 Notes 12 之前的用戶端上使用此功能,則它與密碼同步不相容。
- 如果用戶透過 Notes 變更其 Notes ID 密碼,或者管理員重設 Notes ID 密碼,則新密碼會覆寫透過密碼同步變更的 Windows 密碼,直到下次 Windows 密碼變更。