Active Directory 密码同步

警告:此功能会影响 Active Directory 域控制器配置;仅使用域控制器的有效备份继续。请参阅本主题中的更多详细信息。

此功能将在 Active Directory 域中注册的用户 Windows 密码应用于其 Domino HTTP 和/或 Notes 标识密码。请注意,行业最佳实践建议采用使用单一密码授权的联合登录,并且不建议在多个系统之间同步密码。

当 Active Directory 信息同步到 Domino 的用户更改其 Windows 域密码时,在 Active Directory 域控制器上安装并运行的 Domino 密码过滤器将创建密码更改请求。Domino 密码过滤器将该请求推送到域中指定为请求处理器的 Domino 服务器。请求处理器通过将新密码应用于用户的 HTTP 密码和/或标识符保险库中的 Notes 标识密码来处理密码更改请求。

此功能主要对于不使用联合 SAML 认证的环境有用,这些环境希望解锁 Notes 标识并应用 Active Directory 密码。例如,HCL Nomad 移动用户可以从这一点受益,因为无法连接到 Active Directory 域控制器的脱机用户可以断开连接。

此功能需要能够从 Active Directory 提取密码,以将密码重新应用于保险库中的 Notes 标识。Microsoft 提供了一个完全符合此目的的 API 调用。此 API 只能从 Active Directory 域控制器上安装的软件使用,这就是安装 Domino 用于此功能的原因。

注: Domino 用于获取 Active Directory 密码的实现是唯一可用的安全方法。不能使用 LDAP 协议。
以下用户支持密码同步:
  • 使用 HTTP 密码或 Notes 标识访问 Domino 服务器的已注册 HCL Notes、HCL Nomad、HCL Verse 和 HCL iNotes 用户。
  • 未在 Domino 中注册但在 Domino 目录中拥有“个人”文档的 Web 用户,这些文档用于使用 HTTP 密码访问 Domino Web 应用程序。

要求

  • Windows Server 2016 和 Windows Server 2019 支持 Active Directory 密码同步。从 Domino 12.0.1 开始,Windows Server 2022 也支持此功能。
  • Active Directory 信息同步到主 Domino 目录的用户必须启用目录同步。
  • 您必须为每个 Active Directory 域控制器注册一个 Domino 服务器(用于向 Domino 发送密码更改),并将其安装为域控制器上的 Domino Utility Server。在 Active Directory 域控制器上使用这些服务器的服务器标识来创建和传输密码更改请求。初始设置后, Domino 服务器便不在 Active Directory 域控制器上运行。
  • 多个 Active Directory 域可以向一个 Domino 域发送更改。但是,一个 Active Directory 域无法向多个 Domino 域发送更改。
  • 同步 Notes 标识密码要求标识必须位于标识符保险库中。
  • 所有密码都可以同步,但以左圆括号开头的密码除外。例如,无法同步密码 (mypassword。如果同步了密码的用户尝试更改为以左圆括号开头的密码,那么 Windows 将显示一条错误,指出该密码不符合要求且不允许更改。
注:
  • Domino 12 中已弃用 Notes 客户端单点登录功能,但是如果在 Notes 12 之前的客户端中使用了此功能,那么它与密码同步不兼容。
  • 如果用户通过 Notes 更改其 Notes 标识密码,或者管理员重置 Notes 标识密码,那么在下次更改 Windows 密码之前新密码会覆盖通过密码同步更改的 Windows 密码。

预防措施

Active Directory 密码同步在 Windows 内核的本地安全机构子系统 (lsass.exe) 中运行。HCL 已在未安装第三方软件的清洁操作系统安装上测试了 Active Directory 密码同步。HCL 无法在可能与 LSASS 交互的其他第三方软件(例如,防病毒和防恶意软件程序)上进行测试。因此,HCL 强烈建议您在环境中测试和部署 Active Directory 密码同步时采取以下预防措施:
  • 确保根据 Microsoft 最佳实践部署了多个域控制器。
  • 在安装 Domino Active Directory 密码同步之前备份您的域控制器。
  • 验证备份并确保您知道如何恢复域控制器。
  • 在生产环境中部署之前,请在与您的生产环境(包括所有第三方软件)完全匹配的测试或暂存环境中测试 Active Directory 密码同步。
  • 不要一次在所有域控制器上安装 。分阶段部署。
注: Active Directory 密码同步密码过滤器未由 Microsoft 进行数字签名,并且不在启用 LSA 保护的情况下运行的域控制器上运行。