配置跨網域 TOTP 鑑別的次要網域

完成下列步驟，以配置次要網域的 TOTP 鑑別。

執行這項作業的原因和時機

此程序使用 Domain1 作為主網域名稱，而使用 Domain2 作為次要網域名稱。

程序

將下列 notes.ini 設定新增至 Domain2 中的所有 Web 伺服器，以及 Domain2 中的 ID 儲存庫伺服器：
ENABLE_IDV_CROSSDOMAIN_AUTHENTICATION=1
請確定 Domain2 Domino 目錄在 Domain1 /Org 的 /Org 層次上具有建立信任的 Notes 交互憑證。
在 Domain2 的 ID 儲存庫伺服器上，建立 Domain1 Domino 目錄的抄本。
在 Domain2 的 ID 儲存庫伺服器上配置目錄協助，以查閱其 Domain1 Domino 目錄本端抄本中的名稱。
1. 在 Domain2 的 ID 儲存庫伺服器上建立目錄協助資料庫（如果尚未建立的話）。
2. 為 Domain1 Domino 目錄新增目錄協助文件。文件中以下欄位是必填的。
  在「基本」標籤上：
  - 網域類型：選取 Notes。
  - 網域名稱：指定次要目錄的 Domino 網域。
  - 使此網域可用於以下項目：選取 Notes 用戶端和網際網路鑑別/授權
  - 已啟用：選取是。
  在命名環境定義（規則）標籤上，針對至少一個套用至主要網域的規則，選取已啟用 > 是及授信認證 > 是。您可以使用預設 N.C. 1 規則。
  
  在 Domino 標籤上，指定您在 Domain2 的 ID 儲存庫伺服器上建立的 Domain1 Domino 目錄抄本。
  
  如需相關資訊，請參閱建立 Domino 名錄或延伸目錄型錄的目錄協助文件。
3. 在 ID 儲存庫伺服器的 Domino 伺服器主控台中，執行指令 sh xdir 來確認配置。您應該會看到類似下列輸出的輸出：
```
[11A4:0006-105C]  DomainName      DirectoryType         ClientProtocol Replica/LDAP Server
[11A4:0006-105C]    --------------- --------------------- -------------- -----------------------
[11A4:007C-105C]  1 Domain2        Primary-Notes         Notes & LDAP   names.nsf
[11A4:007C-105C]  2 Domain1        Secondary-Notes       Notes          names-server1.nsf
```
從 ID 儲存庫伺服器的伺服器主控台執行下列指令兩次，以同時為 Domain1 Org 和 Domain2 Org 建立「多因子鑑別憑證」。
```
mfamgmt create trustcert <Notes DN to allow>  <certifier ID file>  <certifier password> 
```
例如：
```
mfamgmt create trustcert */O=Org1  cert.id  sr$1ulxl47o 
mfamgmt create trustcert */O=Org2  cert.id  tr$polx3p98 
```
憑證會建立在 Domain2 Domino 目錄中。
將 Domain2 Domino 目錄及「目錄協助」資料庫抄寫至 Domain2 中的所有參與 ID 儲存庫伺服器。