Domino與AD集成解決方案

1、實(shí)現(xiàn)IBM Lotus notes產(chǎn)品與AD集成通過(guò)那天的談話，我感覺(jué)貴公司現(xiàn)在一直在用MS Active Directory Server(簡(jiǎn)稱：AD)作為統(tǒng)一用戶管理平臺(tái)。AD對(duì)多個(gè)應(yīng)用的用戶驗(yàn)證和用戶的基本信息進(jìn)行維護(hù)，其中包括對(duì)用戶的新增、重名、刪除、信息修改與用戶組的維護(hù)。而對(duì)于Lotus Domino這邊還沒(méi)有用的它本身的郵件機(jī)制與用戶管理模塊，不知道我理解的對(duì)不對(duì)，以下是我個(gè)人理解整理出的一個(gè)方案，不過(guò)這個(gè)很籠統(tǒng)，細(xì)節(jié)還需要改動(dòng)；1. 現(xiàn)在面臨的問(wèn)題是如何兩者進(jìn)行單點(diǎn)登錄當(dāng)前用戶已有MS Active Directory Server(簡(jiǎn)稱：AD)作為統(tǒng)一用戶管理平臺(tái)。AD對(duì)多個(gè)

2、應(yīng)用的用戶驗(yàn)證和用戶的基本信息進(jìn)行維護(hù)，其中包括對(duì)用戶的新增、重名、刪除、信息修改與用戶組的維護(hù)。IBM Lotus Domino 平臺(tái)是業(yè)界流行的辦公自動(dòng)化(簡(jiǎn)稱：OA)，為企業(yè)快速建立其符合企業(yè)要求和管理思路的辦公自動(dòng)化軟件系統(tǒng)。在Domino 平臺(tái)也內(nèi)含符合國(guó)際標(biāo)準(zhǔn)的用戶目錄系統(tǒng)，提供企業(yè)級(jí)用戶目錄與認(rèn)證服務(wù)。AD是已存在的統(tǒng)一用戶目錄系統(tǒng)，Domino是最先進(jìn)應(yīng)用最廣的OA開(kāi)發(fā)平臺(tái)，如何使兩者有一個(gè)好的結(jié)合和集成?如何使用戶管理可以得以統(tǒng)一?如何滿足OA系統(tǒng)中用戶信息、權(quán)限管理超出AD管理范圍的額外需求?2. 解決方案在此我們提出兩種解決方案供選擇，每種解決方案具有自己的優(yōu)點(diǎn)和缺點(diǎn)，可

3、以在不同的情況下進(jìn)行選擇使用。2.1. 方案一第一種方案我們采用Lotus Domino Active Directory Synchronization(簡(jiǎn)稱：ADSync)統(tǒng)一管理和同步Domino用戶目錄。ADSync 允許管理員來(lái)保持 Domino Directory 和 Active Directory 用戶和組的同步。管理員可以注冊(cè)、同步屬性和密碼，而且在 Active Directory 中對(duì)用戶和組執(zhí)行重命名和刪除操作時(shí)，還會(huì)在 Domino Directory 中執(zhí)行同樣的操作，反之亦然。其特性包括兩個(gè)目錄之間的容器映射和屬性映射，以及注冊(cè)用戶時(shí)所使用的策略。2.1.1. 工

4、作原理與適用范圍ADSync是Lotus Note Administrator的一個(gè)組件，提供一個(gè)組件與Windows 管理控制臺(tái)集成，提供一個(gè)集成的操作環(huán)境在創(chuàng)建AD用戶的同時(shí)有可選項(xiàng)向Domino目錄中注冊(cè)用戶名。在注冊(cè)用戶時(shí)，提供用戶驗(yàn)證字、用戶組織單元、用戶密碼一并完成用戶在Domino重的注冊(cè)。由于ADSync是MMC(Microsoft Management Console)的一個(gè)組件并不是Windows的一個(gè)后臺(tái)服務(wù)，所以不通過(guò)MMC所有改的用戶信息(如：密碼，人員信息)不會(huì)自動(dòng)同步到Domino目錄中，必須手動(dòng)促發(fā)其同步。使用 ADSync 時(shí)比較棘手的問(wèn)題之一就是：要全面了解

5、哪一方可執(zhí)行哪些操作;即哪些操作可由 Active Directory 執(zhí)行，哪些操作可由 Domino Administrator 客戶機(jī)執(zhí)行。但是，如果使用表 1 中的信息，上述內(nèi)容是比較容易理解的。表中的第一列包含任務(wù)，后面兩列指明任務(wù)是否在其原始平臺(tái)上進(jìn)行操作。操作從 Active Directory 平臺(tái)從 Lotus Domino 平臺(tái)注冊(cè)用戶可以可以重命名在 Active Directory 中創(chuàng)建的用戶只能重命名 Active Directory 用戶只能重命名 Active Directory 用戶重命名在 Lotus Domino 中創(chuàng)建的用戶可以可以同步用戶數(shù)據(jù)可以不可以

6、刪除用戶可以可以創(chuàng)建組可以不可以重命名組可以不可以同步組數(shù)據(jù)使用 Active Directory 中所定義的成員關(guān)系來(lái)重寫 Domino Directory Members 字段不可以刪除組不可以可以批量導(dǎo)入現(xiàn)有用戶密碼不可以不可以表 1. 從 Active Directory 和 Lotus Domino 發(fā)起的 ADSync 操作快速瀏覽上表，您會(huì)發(fā)現(xiàn)可以從任一方創(chuàng)建并刪除用戶，但是用戶的注冊(cè)將取決于創(chuàng)建用戶的位置。在 Active Directory 中可以很輕松地實(shí)現(xiàn)用戶數(shù)據(jù)在系統(tǒng)間的同步，而在 Lotus Domino 上卻不可以。最后，組創(chuàng)建只是一個(gè) Active Directo

7、ry 任務(wù)。因此在您的環(huán)境中使用 ADSync 時(shí)需要熟悉該表。使用 Active Directory Users and Computers 工具的 Synchronize with Domino 按鈕可以實(shí)現(xiàn) ADSync 的密碼同步。通過(guò)按下 Ctrl + Alt + Del 而發(fā)起的密碼更改不會(huì)觸發(fā)同步。若要同步 Active Directory 和 Notes HTTP 的密碼，應(yīng)在 Active Directory Users and Computers 工具中高亮顯示用戶，然后單擊 Synchronize with Domino。ADSync 是 MMC 管理單元，旨在簡(jiǎn)化系統(tǒng)管

8、理員的工作。但是，它沒(méi)有提供任何編程選項(xiàng)可簡(jiǎn)化用戶或組的創(chuàng)建和/或同步的操作。2.2. 方案二第二種方案是我們把AD作為外部的LDAP來(lái)使用，Domino使用其作為額外的認(rèn)證中心完成認(rèn)證，由Domino自帶的用戶用戶目錄完成授權(quán)和額外信息的存儲(chǔ)。2.2.1. 工作原理與適用范圍在Domino中可以啟用“Directory Assistance”外部目錄服務(wù)來(lái)連接和使用外部LDAP目錄來(lái)進(jìn)行外部人員認(rèn)證和信息查詢?！癉irectory Assistance”是一種服務(wù)器可以用來(lái)查找在本地主 Domino 目錄之外的某個(gè)目錄中的信息的功能。采用了這種內(nèi)外部同時(shí)認(rèn)證的方式，當(dāng)用戶沒(méi)有在Domino認(rèn)

9、證通過(guò)時(shí)，會(huì)自動(dòng)到AD中去進(jìn)行認(rèn)證。即同一個(gè)用戶名在AD和Domino中的口令不一樣也可以通過(guò)認(rèn)證，但是由于AD和Domino中對(duì)用戶名的表達(dá)方式不同會(huì)造成Domino中的ACL和用戶名獲取不正確。我們通過(guò)下圖來(lái)說(shuō)明整體的實(shí)現(xiàn)思路。我們假設(shè)在AD中和Domino中都有用戶名為test1的用戶，此用戶在AD中的唯一標(biāo)識(shí)為： CN=test1,CN=users,DC=ibm,Dc=com; 在Domino中的唯一標(biāo)識(shí)為：cn=test1,o=ibm 。首先用戶使用test1與口令password登錄Domino系統(tǒng)。如果用戶名和口令與Domino目錄中的用戶名和口令相符，則通過(guò)驗(yàn)證返回cn=tes

10、t1,o=ibm (即：test1/ibm)。如果用戶名和口令與Domino目錄中的用戶名和口令不相符，則Domino會(huì)通過(guò)Directory Assistance到AD中去進(jìn)行驗(yàn)證。如果用戶名和口令與AD目錄中的用戶名和口令不相符，則通過(guò)驗(yàn)證返回CN=test1,CN=users,DC=ibm,Dc=com。由于CN=test1,CN=users,DC=ibm,Dc=com會(huì)和原有在Domino中的用戶名不一樣導(dǎo)致ACL出錯(cuò)，所以需要通過(guò)Directory Assistance 將AD中預(yù)存Domino用戶的信息(cn=test1,o=ibm)替換掉CN=test1,CN=users,DC=

11、ibm,Dc=com。最終返回符合Domino使用的cn=test1,o=ibm (即：test1/ibm)。此方案的優(yōu)勢(shì)在于我們可以不用擔(dān)心AD與Domino中的用戶驗(yàn)證問(wèn)題，對(duì)于Domino應(yīng)用來(lái)說(shuō)可以靈活的控制Domino中的用戶信息和組織結(jié)構(gòu)等等，對(duì)AD同步完全可以通過(guò)LDAP標(biāo)準(zhǔn)的操作來(lái)完成，可控力比較強(qiáng)。但需要AD一個(gè)屬性放置Domino用戶，和一套LDAP同步程序。2.2.2. 安裝和設(shè)置在配置Domino服務(wù)器之前，我們需要將AD中的用戶注冊(cè)到Domino目錄中去，此過(guò)程可以使用方案一中的ADSync、Lotus Administrator批量用戶注冊(cè)、或LDAP操作進(jìn)行。在這

12、里我們使用手工將AD中的CN=test1,CN=users,DC=hongyi,DC=com,DC=cn的用戶注冊(cè)到Domino中，在Domino中其用戶為cn=test1,o=hongyi(test1/hongyi)。把Domino中的用戶名添加到AD中，在這個(gè)樣例中我們使用AD“描述”字段來(lái)存放Domino的用戶名稱。我們?cè)贏D和Domino中都有了我們想要獲得的統(tǒng)一用戶名，接下來(lái)我們就需要讓Domino能夠自動(dòng)的幫助我們獲得用戶名，返回給我們的應(yīng)用。有以下兩步要做：建立Directory Assistance 服務(wù)配置;配置Domino服務(wù)器文檔，啟用Directory Assistan

13、ce服務(wù)。建立Directory Assistance 服務(wù)配置打開(kāi)Notes客戶端創(chuàng)建Directory Assistance數(shù)據(jù)庫(kù)。1. 點(diǎn)擊“文件”->“數(shù)據(jù)庫(kù)”->“新建”2. 輸入文件名“da.nsf”,選擇服務(wù)器，如：“server/hongyi”,選擇數(shù)據(jù)庫(kù)模板“Directory Assistance (7)”打開(kāi)已創(chuàng)建的Directory Assistance數(shù)據(jù)庫(kù)，創(chuàng)建配置文檔。1. 從 Domino Administrator 中，選擇“文件”“打開(kāi)服務(wù)器”，然后選擇已設(shè)置為使用“目錄服務(wù)”數(shù)據(jù)庫(kù)的服務(wù)器，并單擊“確定”。2. 單擊“配置”附簽，單擊“添加目錄

14、服務(wù)”。3. 在“基本”附簽中，填寫下列域：   域輸入網(wǎng)絡(luò)域類型選擇 LDAP。網(wǎng)絡(luò)域名稱選定的網(wǎng)絡(luò)域名稱，如： 公司名稱（可選）搜索順序（可選）使此網(wǎng)絡(luò)域適用于選擇下列兩個(gè)選項(xiàng)或二者之一： “Notes clients and Internet Authentication/Authorization”可將此 LDAP 目錄用于 Notes 郵件尋址、Internet 客戶機(jī)驗(yàn)證（包括 LDAP 客戶機(jī)驗(yàn)證）或在數(shù)據(jù)庫(kù)授權(quán)時(shí)查找群組成員。 當(dāng) LDAP 搜索在所有 Domino 目錄中都失敗時(shí)，“LDAP 客戶機(jī)”啟用運(yùn)行 LDAP 服務(wù)的服務(wù)器，以便讓 LDAP 客戶

15、機(jī)查閱此 LDAP 目錄。 群組授權(quán)選擇下列選項(xiàng)之一： “Yes”，可在數(shù)據(jù)庫(kù)授權(quán)時(shí)在此 LDAP 目錄中搜索群組成員。 “No”（缺?。?，在數(shù)據(jù)庫(kù)授權(quán)時(shí)禁止在該目錄中搜索群組成員。 請(qǐng)僅對(duì)在“目錄服務(wù)”數(shù)據(jù)庫(kù)中配置的一個(gè)目錄（Notes 或 LDAP）選擇“Yes”。 不必啟用“Trusted for Credentials”規(guī)則。 如果選擇了“Yes”，則在出現(xiàn)的“Nested group expansion”域中選擇： “Yes”（缺?。?，可搜索嵌套群組（為數(shù)據(jù)庫(kù) ACL 中列出的群組的成員）。 “No”，僅搜索數(shù)據(jù)庫(kù) ACL 中列出的群組成員，而不搜索嵌套在那些群組中的群組成員。 啟用

16、選擇“Yes”，為此 LDAP 目錄啟用目錄服務(wù)。用于 SSO 令牌名稱的屬性（映射到 LTPA_ UserNm）輸入目錄屬性名稱，該名稱應(yīng)該在要求 LTPA_UserNm 域時(shí)被返回。該值可被用作由 Domino 生成的任意 SSO 令牌中的用戶名。 4. 單擊“命名上下文(規(guī)則)”附簽，為要為該目錄定義的每個(gè)規(guī)則填寫下列域。缺省情況下，當(dāng)“Trusted for Credentials”設(shè)置為“No”時(shí)會(huì)啟用全星號(hào)規(guī)則。 域輸入N.C. #描述 LDAP 目錄中的用戶名的命名上下文（規(guī)則）。啟用選擇下列選項(xiàng)之一： “Yes”，啟用規(guī)則 “No”（缺省），禁用規(guī)則 Trusted for C

17、redentials選擇下列選項(xiàng)之一： “Yes”，服務(wù)器可以使用 LDAP 目錄中的證書(shū)驗(yàn)證目錄中的專有名稱與此規(guī)則對(duì)應(yīng)的 Internet 對(duì)客戶機(jī)。 “No”（缺?。?，禁止服務(wù)器使用此目錄驗(yàn)證專有名稱與此規(guī)則對(duì)應(yīng)的 Internet 客戶機(jī)。 5. 在“LDAP”附簽上，填寫下列域：域輸入主機(jī)名遠(yuǎn)程 LDAP 目錄服務(wù)器的主機(jī)名，如 。Domino 服務(wù)器使用此主機(jī)名連接到遠(yuǎn)程 LDAP 目錄服務(wù)器，或?qū)?LDAP 客戶機(jī)指向 LDAP 目錄。 用于搜索的基本 DN搜索條件（如果 LDAP 目錄服務(wù)器需要）。通道加密選擇下列選項(xiàng)之一： SSL（缺省），Domino 服務(wù)器連接到遠(yuǎn)程 LD

18、AP 目錄服務(wù)器時(shí)將使用 SSL “無(wú)”，禁止使用 SSL。 如果使用遠(yuǎn)程 LDAP 進(jìn)行客戶機(jī)驗(yàn)證或查找群組成員以進(jìn)行數(shù)據(jù)庫(kù)授權(quán)，請(qǐng)保留“通道加密”域中的 SSL 選擇。 如果選擇了 SSL，請(qǐng)?jiān)谙铝邢嚓P(guān)域中做出選擇： “接受到期的 SSL 驗(yàn)證字” “SSL 協(xié)議版本” “使用遠(yuǎn)程服務(wù)器的驗(yàn)證字驗(yàn)證服務(wù)器名稱” 端口Domino 服務(wù)器用于連接遠(yuǎn)程 LDAP 目錄服務(wù)器的端口號(hào)。 如果在“通道加密”域中選擇了“SSL”，則缺省端口為 636。 如果在“通道加密”域中選擇了“無(wú)”，則缺省端口為 389。 如果 LDAP 目錄服務(wù)器未使用這些缺省端口，請(qǐng)手動(dòng)輸入不同的端口號(hào)。 超時(shí)允許搜索遠(yuǎn)程

19、 LDAP 目錄的最長(zhǎng)時(shí)間（秒）；缺省為 60 秒。 如果遠(yuǎn)程 LDAP 目錄服務(wù)器也有超時(shí)設(shè)置，則較低設(shè)置優(yōu)先。 返回的最大項(xiàng)目數(shù)LDAP 目錄服務(wù)器可以為 Domino 服務(wù)器所搜索的名稱返回的最大項(xiàng)目數(shù)。如果 LDAP 目錄服務(wù)器也有最大值設(shè)定，則數(shù)值較小的設(shè)置優(yōu)先。如果 LDAP 目錄服務(wù)器超時(shí)，將返回到該時(shí)刻為止所找到的名稱的數(shù)目。缺省為 100。搜索時(shí)的別名反參照選擇下列選項(xiàng)之一以控制搜索遠(yuǎn)程 LDAP 目錄時(shí)的別名非關(guān)聯(lián)化范圍： “Never” “Only for subordinate entries” “Only for search base entries” “Always”(default) 如果 LDAP 目錄中未使用別名，選擇“Never”可以提高搜索性能。 首選郵件格式如果將目錄服務(wù)設(shè)置為允