Domino與AD集成解決方案

1、實現(xiàn)IBM Lotus notes產(chǎn)品與AD集成通過那天的談話，我感覺貴公司現(xiàn)在一直在用MS Active Directory Server(簡稱：AD)作為統(tǒng)一用戶管理平臺。AD對多個應(yīng)用的用戶驗證和用戶的基本信息進行維護，其中包括對用戶的新增、重名、刪除、信息修改與用戶組的維護。而對于Lotus Domino這邊還沒有用的它本身的郵件機制與用戶管理模塊，不知道我理解的對不對，以下是我個人理解整理出的一個方案，不過這個很籠統(tǒng)，細節(jié)還需要改動；1. 現(xiàn)在面臨的問題是如何兩者進行單點登錄當前用戶已有MS Active Directory Server(簡稱：AD)作為統(tǒng)一用戶管理平臺。AD對多個

2、應(yīng)用的用戶驗證和用戶的基本信息進行維護，其中包括對用戶的新增、重名、刪除、信息修改與用戶組的維護。IBM Lotus Domino 平臺是業(yè)界流行的辦公自動化(簡稱：OA)，為企業(yè)快速建立其符合企業(yè)要求和管理思路的辦公自動化軟件系統(tǒng)。在Domino 平臺也內(nèi)含符合國際標準的用戶目錄系統(tǒng)，提供企業(yè)級用戶目錄與認證服務(wù)。AD是已存在的統(tǒng)一用戶目錄系統(tǒng)，Domino是最先進應(yīng)用最廣的OA開發(fā)平臺，如何使兩者有一個好的結(jié)合和集成?如何使用戶管理可以得以統(tǒng)一?如何滿足OA系統(tǒng)中用戶信息、權(quán)限管理超出AD管理范圍的額外需求?2. 解決方案在此我們提出兩種解決方案供選擇，每種解決方案具有自己的優(yōu)點和缺點，可

3、以在不同的情況下進行選擇使用。2.1. 方案一第一種方案我們采用Lotus Domino Active Directory Synchronization(簡稱：ADSync)統(tǒng)一管理和同步Domino用戶目錄。ADSync 允許管理員來保持 Domino Directory 和 Active Directory 用戶和組的同步。管理員可以注冊、同步屬性和密碼，而且在 Active Directory 中對用戶和組執(zhí)行重命名和刪除操作時，還會在 Domino Directory 中執(zhí)行同樣的操作，反之亦然。其特性包括兩個目錄之間的容器映射和屬性映射，以及注冊用戶時所使用的策略。2.1.1. 工

4、作原理與適用范圍ADSync是Lotus Note Administrator的一個組件，提供一個組件與Windows 管理控制臺集成，提供一個集成的操作環(huán)境在創(chuàng)建AD用戶的同時有可選項向Domino目錄中注冊用戶名。在注冊用戶時，提供用戶驗證字、用戶組織單元、用戶密碼一并完成用戶在Domino重的注冊。由于ADSync是MMC(Microsoft Management Console)的一個組件并不是Windows的一個后臺服務(wù)，所以不通過MMC所有改的用戶信息(如：密碼，人員信息)不會自動同步到Domino目錄中，必須手動促發(fā)其同步。使用 ADSync 時比較棘手的問題之一就是：要全面了解

5、哪一方可執(zhí)行哪些操作;即哪些操作可由 Active Directory 執(zhí)行，哪些操作可由 Domino Administrator 客戶機執(zhí)行。但是，如果使用表 1 中的信息，上述內(nèi)容是比較容易理解的。表中的第一列包含任務(wù)，后面兩列指明任務(wù)是否在其原始平臺上進行操作。操作從 Active Directory 平臺從 Lotus Domino 平臺注冊用戶可以可以重命名在 Active Directory 中創(chuàng)建的用戶只能重命名 Active Directory 用戶只能重命名 Active Directory 用戶重命名在 Lotus Domino 中創(chuàng)建的用戶可以可以同步用戶數(shù)據(jù)可以不可以

6、刪除用戶可以可以創(chuàng)建組可以不可以重命名組可以不可以同步組數(shù)據(jù)使用 Active Directory 中所定義的成員關(guān)系來重寫 Domino Directory Members 字段不可以刪除組不可以可以批量導(dǎo)入現(xiàn)有用戶密碼不可以不可以表 1. 從 Active Directory 和 Lotus Domino 發(fā)起的 ADSync 操作快速瀏覽上表，您會發(fā)現(xiàn)可以從任一方創(chuàng)建并刪除用戶，但是用戶的注冊將取決于創(chuàng)建用戶的位置。在 Active Directory 中可以很輕松地實現(xiàn)用戶數(shù)據(jù)在系統(tǒng)間的同步，而在 Lotus Domino 上卻不可以。最后，組創(chuàng)建只是一個 Active Directo

7、ry 任務(wù)。因此在您的環(huán)境中使用 ADSync 時需要熟悉該表。使用 Active Directory Users and Computers 工具的 Synchronize with Domino 按鈕可以實現(xiàn) ADSync 的密碼同步。通過按下 Ctrl + Alt + Del 而發(fā)起的密碼更改不會觸發(fā)同步。若要同步 Active Directory 和 Notes HTTP 的密碼，應(yīng)在 Active Directory Users and Computers 工具中高亮顯示用戶，然后單擊 Synchronize with Domino。ADSync 是 MMC 管理單元，旨在簡化系統(tǒng)管

8、理員的工作。但是，它沒有提供任何編程選項可簡化用戶或組的創(chuàng)建和/或同步的操作。2.2. 方案二第二種方案是我們把AD作為外部的LDAP來使用，Domino使用其作為額外的認證中心完成認證，由Domino自帶的用戶用戶目錄完成授權(quán)和額外信息的存儲。2.2.1. 工作原理與適用范圍在Domino中可以啟用“Directory Assistance”外部目錄服務(wù)來連接和使用外部LDAP目錄來進行外部人員認證和信息查詢?！癉irectory Assistance”是一種服務(wù)器可以用來查找在本地主 Domino 目錄之外的某個目錄中的信息的功能。采用了這種內(nèi)外部同時認證的方式，當用戶沒有在Domino認

9、證通過時，會自動到AD中去進行認證。即同一個用戶名在AD和Domino中的口令不一樣也可以通過認證，但是由于AD和Domino中對用戶名的表達方式不同會造成Domino中的ACL和用戶名獲取不正確。我們通過下圖來說明整體的實現(xiàn)思路。我們假設(shè)在AD中和Domino中都有用戶名為test1的用戶，此用戶在AD中的唯一標識為： CN=test1,CN=users,DC=ibm,Dc=com; 在Domino中的唯一標識為：cn=test1,o=ibm 。首先用戶使用test1與口令password登錄Domino系統(tǒng)。如果用戶名和口令與Domino目錄中的用戶名和口令相符，則通過驗證返回cn=tes

10、t1,o=ibm (即：test1/ibm)。如果用戶名和口令與Domino目錄中的用戶名和口令不相符，則Domino會通過Directory Assistance到AD中去進行驗證。如果用戶名和口令與AD目錄中的用戶名和口令不相符，則通過驗證返回CN=test1,CN=users,DC=ibm,Dc=com。由于CN=test1,CN=users,DC=ibm,Dc=com會和原有在Domino中的用戶名不一樣導(dǎo)致ACL出錯，所以需要通過Directory Assistance 將AD中預(yù)存Domino用戶的信息(cn=test1,o=ibm)替換掉CN=test1,CN=users,DC=

11、ibm,Dc=com。最終返回符合Domino使用的cn=test1,o=ibm (即：test1/ibm)。此方案的優(yōu)勢在于我們可以不用擔心AD與Domino中的用戶驗證問題，對于Domino應(yīng)用來說可以靈活的控制Domino中的用戶信息和組織結(jié)構(gòu)等等，對AD同步完全可以通過LDAP標準的操作來完成，可控力比較強。但需要AD一個屬性放置Domino用戶，和一套LDAP同步程序。2.2.2. 安裝和設(shè)置在配置Domino服務(wù)器之前，我們需要將AD中的用戶注冊到Domino目錄中去，此過程可以使用方案一中的ADSync、Lotus Administrator批量用戶注冊、或LDAP操作進行。在這

12、里我們使用手工將AD中的CN=test1,CN=users,DC=hongyi,DC=com,DC=cn的用戶注冊到Domino中，在Domino中其用戶為cn=test1,o=hongyi(test1/hongyi)。把Domino中的用戶名添加到AD中，在這個樣例中我們使用AD“描述”字段來存放Domino的用戶名稱。我們在AD和Domino中都有了我們想要獲得的統(tǒng)一用戶名，接下來我們就需要讓Domino能夠自動的幫助我們獲得用戶名，返回給我們的應(yīng)用。有以下兩步要做：建立Directory Assistance 服務(wù)配置;配置Domino服務(wù)器文檔，啟用Directory Assistan

13、ce服務(wù)。建立Directory Assistance 服務(wù)配置打開Notes客戶端創(chuàng)建Directory Assistance數(shù)據(jù)庫。1. 點擊“文件”->“數(shù)據(jù)庫”->“新建”2. 輸入文件名“da.nsf”,選擇服務(wù)器，如：“server/hongyi”,選擇數(shù)據(jù)庫模板“Directory Assistance (7)”打開已創(chuàng)建的Directory Assistance數(shù)據(jù)庫，創(chuàng)建配置文檔。1. 從 Domino Administrator 中，選擇“文件”“打開服務(wù)器”，然后選擇已設(shè)置為使用“目錄服務(wù)”數(shù)據(jù)庫的服務(wù)器，并單擊“確定”。2. 單擊“配置”附簽，單擊“添加目錄

14、服務(wù)”。3. 在“基本”附簽中，填寫下列域：   域輸入網(wǎng)絡(luò)域類型選擇 LDAP。網(wǎng)絡(luò)域名稱選定的網(wǎng)絡(luò)域名稱，如： 公司名稱（可選）搜索順序（可選）使此網(wǎng)絡(luò)域適用于選擇下列兩個選項或二者之一： “Notes clients and Internet Authentication/Authorization”可將此 LDAP 目錄用于 Notes 郵件尋址、Internet 客戶機驗證（包括 LDAP 客戶機驗證）或在數(shù)據(jù)庫授權(quán)時查找群組成員。 當 LDAP 搜索在所有 Domino 目錄中都失敗時，“LDAP 客戶機”啟用運行 LDAP 服務(wù)的服務(wù)器，以便讓 LDAP 客戶

15、機查閱此 LDAP 目錄。 群組授權(quán)選擇下列選項之一： “Yes”，可在數(shù)據(jù)庫授權(quán)時在此 LDAP 目錄中搜索群組成員。 “No”（缺?。?，在數(shù)據(jù)庫授權(quán)時禁止在該目錄中搜索群組成員。 請僅對在“目錄服務(wù)”數(shù)據(jù)庫中配置的一個目錄（Notes 或 LDAP）選擇“Yes”。 不必啟用“Trusted for Credentials”規(guī)則。 如果選擇了“Yes”，則在出現(xiàn)的“Nested group expansion”域中選擇： “Yes”（缺省），可搜索嵌套群組（為數(shù)據(jù)庫 ACL 中列出的群組的成員）。 “No”，僅搜索數(shù)據(jù)庫 ACL 中列出的群組成員，而不搜索嵌套在那些群組中的群組成員。 啟用

16、選擇“Yes”，為此 LDAP 目錄啟用目錄服務(wù)。用于 SSO 令牌名稱的屬性（映射到 LTPA_ UserNm）輸入目錄屬性名稱，該名稱應(yīng)該在要求 LTPA_UserNm 域時被返回。該值可被用作由 Domino 生成的任意 SSO 令牌中的用戶名。 4. 單擊“命名上下文(規(guī)則)”附簽，為要為該目錄定義的每個規(guī)則填寫下列域。缺省情況下，當“Trusted for Credentials”設(shè)置為“No”時會啟用全星號規(guī)則。 域輸入N.C. #描述 LDAP 目錄中的用戶名的命名上下文（規(guī)則）。啟用選擇下列選項之一： “Yes”，啟用規(guī)則 “No”（缺?。靡?guī)則 Trusted for C

17、redentials選擇下列選項之一： “Yes”，服務(wù)器可以使用 LDAP 目錄中的證書驗證目錄中的專有名稱與此規(guī)則對應(yīng)的 Internet 對客戶機。 “No”（缺?。?，禁止服務(wù)器使用此目錄驗證專有名稱與此規(guī)則對應(yīng)的 Internet 客戶機。 5. 在“LDAP”附簽上，填寫下列域：域輸入主機名遠程 LDAP 目錄服務(wù)器的主機名，如 。Domino 服務(wù)器使用此主機名連接到遠程 LDAP 目錄服務(wù)器，或?qū)?LDAP 客戶機指向 LDAP 目錄。 用于搜索的基本 DN搜索條件（如果 LDAP 目錄服務(wù)器需要）。通道加密選擇下列選項之一： SSL（缺?。珼omino 服務(wù)器連接到遠程 LD

18、AP 目錄服務(wù)器時將使用 SSL “無”，禁止使用 SSL。 如果使用遠程 LDAP 進行客戶機驗證或查找群組成員以進行數(shù)據(jù)庫授權(quán)，請保留“通道加密”域中的 SSL 選擇。 如果選擇了 SSL，請在下列相關(guān)域中做出選擇： “接受到期的 SSL 驗證字” “SSL 協(xié)議版本” “使用遠程服務(wù)器的驗證字驗證服務(wù)器名稱” 端口Domino 服務(wù)器用于連接遠程 LDAP 目錄服務(wù)器的端口號。 如果在“通道加密”域中選擇了“SSL”，則缺省端口為 636。 如果在“通道加密”域中選擇了“無”，則缺省端口為 389。 如果 LDAP 目錄服務(wù)器未使用這些缺省端口，請手動輸入不同的端口號。 超時允許搜索遠程

19、 LDAP 目錄的最長時間（秒）；缺省為 60 秒。 如果遠程 LDAP 目錄服務(wù)器也有超時設(shè)置，則較低設(shè)置優(yōu)先。 返回的最大項目數(shù)LDAP 目錄服務(wù)器可以為 Domino 服務(wù)器所搜索的名稱返回的最大項目數(shù)。如果 LDAP 目錄服務(wù)器也有最大值設(shè)定，則數(shù)值較小的設(shè)置優(yōu)先。如果 LDAP 目錄服務(wù)器超時，將返回到該時刻為止所找到的名稱的數(shù)目。缺省為 100。搜索時的別名反參照選擇下列選項之一以控制搜索遠程 LDAP 目錄時的別名非關(guān)聯(lián)化范圍： “Never” “Only for subordinate entries” “Only for search base entries” “Always”(default) 如果 LDAP 目錄中未使用別名，選擇“Never”可以提高搜索性能。 首選郵件格式如果將目錄服務(wù)設(shè)置為允