Domino与AD帐户同步并且与AD域实现SSO

原创 2010年05月20日 15:57:00

介绍

当客户环境中已存在Microsoft Active Directory(简称AD),而且依赖于AD已有许多应用。客户要求使用AD现有用户登录至Domino中。

AD中通过Domino ADSYNC服务同步至Domino中时,请注意以下:

不能自动进行同步,每次同步信息需要管理员干涉;

不能同步密码

同步信息中不会有等价名属性,某些应用需要用户名Notes英文名(如:admin/ACME)和中文等价名(如:管理员/ACME)

如果AD中名(FirstName)和姓(LastName)为中文时,同步至Domino后,为中文,如:在AD

 

AD

同步后Domino

用户名:

张三

三 张/ACME

登录名:

squallzhong

Squallzhong

姓:

名:

根据以上所示,经过同步自成出来的邮件文件为三张.nsf,同步后的用户CN为三 张。同步过来的信息有可能对产品中现有应用模块的程序造成影响,请慎重。

 

如果AD中有以上描述情况,建议不使用Domino ADSYNC同步信息;将AD中的用户导出至电子表格,再注册为DOMINO用户;再给每个Domino用户添加AD帐户即可。这类情况则不需要配置Domino Active Directory同步,可跳过3.2-3.5

 

以下配置实例为Domino ServerIIS在同一台服务器上

环境要求

服务器至少两台

 

  • 域控制器,已如已有则省略
  • 应用服务器,安装IIS和Domino服务器

 

注:建议IISDomino服务器分在不同服务器上部署。方便扩展,推荐以下网络结构:

服务器基本配置

平台

Microsoft Windows 2003

支持操作系统

Microsoft Windows 2000 Server Standard Edition;

Microsoft Windows 2000 Server Enterprise Edition;

Microsoft Windows 2003 Server Standard Edition;

Microsoft Windows 2003 Server Enterprise Edition;

Microsoft Windows 2003 Server x64 Edition

处理器支持

Intel Pentiuma或更高(32位和64)

内存

1 GB minimum

1 GB or more recommended per CPU

磁盘空间

1.5 GB以上/分区

交换空间

建议:物理内存x2

显示器

彩色显示器



软件要求

  • 一个名称解析法,比如:域名系统(Domain Name System,DNS)、DNS动态更新协议、Windows Internet名称服务(Windows Internet Name Service,WINS)、HOSTS等等。
  • 一个现有的域模型(可选)。
  • 所有的节点必须是同一个域的成员。
  • 一个域级帐户,必须是每个节点上的本地管理员组的成员。建议采用专用帐户。
  • Windows Server 2003 Enterprise Edition或以上
  • Lotus Domino Sever R7.03或以上
  • Microsoft IIS 5.2或以上

具体配置

安装Windows 2003,并部署Active Directory服务

此步骤不是本文描述重点,关于AD部署请查阅相关资料

安装Lotus Domino Server及Lotus Domino Administrator

具体步骤请参见:Domino R8.0.x安装 for Windows

设置 Domino Active Directory 同步

打开命令提示符。从 Notes 安装目录,键入:

regsvr32 nadsync.dll

此时将出现一个消息框,指出注册已完成。此过程可能需要一分钟。如下图:

注:一定是Notes的程序目录,请不要在Lotus Domino Server的程序目录上执行。

创建组织策略或独立策略以及“注册策略设置”文档

要使用 ADSync,必须至少有一个策略。 打开Domino Administrator,连接至Domino服务器;如下图:

点击“确定”后出现如下图:
点击“设置类型”中注册的“新建…”按钮,出现如下图:

设置好后,单击“保存并关闭”,如下图:

单击“保存并关闭”即可。

在Active Directory中设置Domino 目录同步

从“开始”菜单中,单击“程序”“管理工具”“Active Directory 用户和计算机”。单击“Lotus Domino 选项”文件夹,用鼠标右键单击“Domino 目录同步”,然后选择“选项”,如下图:

点击“选项”后,出现如下图:

输入密码后,进行初始化。初始化成功后,出现以下提示:

点击“确定”后,出现以下对话框:


设置好以上如图所示后,点击“确定”。关闭并重新启动 Active Directory 用户和计算机以使更改生效。

安装IIS

IIS安装比较简单,不在此详细描述,相关文章大家可以在网上搜索得到。修改

Domino HTTP设置

服务器配置文档相关修改值

项目

WEB端口

81

会话验证

单服务器

此服务器是否使用IIS

协议

http

主机名称

Apps.acme.com

端口号

80



重启服务器即可。

布署Domino ISAPI插件

将WebSphere.rar解压至C:/;如下:
执行config目录下的config.reg;
编辑config目录下的plugin-cfg.xml文件;

如全限主机名:oa.acme.com,端口:81

注:如果IISDOMINO服务器在同一台服务器时,DOMINO服务器不能使用80端口,只能使用其他端口。80端口必须给IIS使用。

设置IIS

启动IIS管理工具,如下图:

添加WEB服务扩展,如下图:

单击“确定”后,如下图:

添加“ISAPI筛选器”,在左边树,“网站”处,点击右键,选择“属性”;点击“ISAPI筛选器”标签,再点击“添加…”,如下图:

点击“确定”后,即可。

点击“目录安全性”标签,点击“身份验证和访问控制”区段中的“编辑”按钮,如下图:

取消“启用匿名访问”,确认“集成Windows身份验证”已选中,点击“确定”即可。

设置主目录,如下图:

主目录的本地路径:%DominoDataPath%/domino/html目录;

将C:/WebSphere/AppServer/etc目录下的default.htm拷贝至主目录下。

在默认网站中创建一个虚拟目录,名称为:sePlugins,如下图:

sePlugins权限如下:

取消“启用匿名访问”,确认“集成Windows身份验证”已选中,点击“确定”即可。

为保证IIS设置被更新,请重新启动IIS服务。

修改服务器notes.ini文件

Notes.ini文件在%DominoPath%目录下(分区服务器在%DominoData%目录下);使用记事本打开此文件,在最后一行添加以下参数:

HTTPEnableConnectorHeaders=1

修改Domino地址本个人文档

需要使用AD帐户登录OA的用户,需要在对应的Domino地址本中个人文档的用户名域中添加域帐号,格式为<>/登录名,如下图:

相关链接

 

 

 

使用及诊断

同步现有AD用户至DOMINO

点击“在Domino中注册…”,出现以下图:

点击“立即注册”,出现以下图:

选择验证者标识路径,并输入验证者密码后,点击“确认”。

注:此操作仅限于在AD中已存在用户,但在Domino中并未存在的用户。

从AD中注册用户,并同时注册至Domino

设置好AD帐户的用户信息和密码后,点击“下一步”出现以下图:

点击“下一步”完成,即可完成注册

测试

http://iis.acme.com 

返回IIS缺省页面 

http://iis.acme.com/homepage.nsf 

返回Domino缺省页面 


以上如果能正常返回,则说明配置成功。

在IIS 64bits上运行32位IIS程序

运行以下命令:

cscript.exe adsutil.vbs set W3SVC/AppPools/Enable32BitAppOnWin64 1

参考链接:http://blogs.technet.com/mbaher/archive/2006/12/17/running-iis-32-bit-applications-on-iis-64-bit.aspx

IIS与DOMINO HTTP分别工作正常,使用IIS跳转至DOMINO HTTP时,出现下载.nsf文件

此问题,请确认IIS根目录是否有执行权限,sePlugins是否有读取权限,具体设置请参考2.9

出现”Service Unavailable” 503错误


出现以上错误时,请查看Windows2003日志具体信息,如下图:

说明ISAPI加载失败,如下图:

出现以上原因是相关插件与平台不符合所致。

IIS与DOMINO HTTP分别工作正常,使用IIS跳转至DOMINO HTTP时,出现404的错误

此问题,请确定3.10是否已经设置

使用NTKO控件提交文档时,不能正常提交,报错

此问题,请确定3.7 修改Domino HTTP设置3.9设置IIS是否设置正确,与图示完全一致。

登录域以后,不需要再次登录OA系统相关设置

将IIS和DOMINO的相关域名,加入至IE的可信任网站。如:iis.acme.com和oa.acme.com,如下图:

点击受信任的站点的“自定义级别…”,修改用户验证登录选项。如下图:

 

相关文章推荐

Lotus 迁移到Exchange 之 利用Transport 同步AD和Domino 目录!

在完成前面一些步骤后,我们接下来执行目录同步策略,我们点开相应的Transport suite console 界面,在connection 上面点击目录连接器:默认来说,直接点击Create 创建相...

AD中查找锁定状态的帐户

大家知道,我们可以通过查看用户属性来得知账户是否被锁。但这是一个非常繁琐的查找工作 !一般来说,如果没有用户告诉你他的账户被锁定了,我们要想得知哪些账户被锁定是比较麻烦的。今天我们就来看如何通过LD...
  • wip
  • wip
  • 2011年03月02日 23:14
  • 2459

AD用户帐户属性对照表

http://www.cnblogs.com/yangboshan/archive/2007/07/28/834486.html “常规”标签  姓 Sn  名 Givename  英...

实现微软AD与Domino OA系统的互连互用

1. 用户需求与面临的问题    当前用户已有MS Active Directory Server(简称:AD)作为统一用户管理平台。AD对多个应用的用户验证和用户的基本信息进行维护,其中包括对用户的...

在SSL VPN中启用AD帐户认证.doc

  • 2008年09月02日 00:02
  • 150KB
  • 下载

AD(Active Directory)域信息同步,组织单位、用户等信息查询

接上篇 Windows Server 2008 R2 配置AD(Active Directory)域控制器 对AD域结合常见需求用C#进行一些读取信息的操作^_^!   ...
  • educast
  • educast
  • 2015年06月11日 21:04
  • 9397

关于AD帐户批量解锁

  • 2011年09月23日 00:14
  • 779KB
  • 下载

在sharepoint2010中如何让AD域账号跟sharepoint账号同步

将AD中的数据导入SharePoint 2010   2011-05-04 14:43:07|  分类:Moss |字号 订阅 操作环境(多服务器环境): SharePoint...
  • postfxj
  • postfxj
  • 2013年06月22日 09:26
  • 5586

AD账号登入SSO简单设定

1. 先在Active Directory使用者及计算机,去找你要的登入账号,在Users右键,如下图      2. 在名称内,输入administrator,按下,找到你要的完整名称 ...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:Domino与AD帐户同步并且与AD域实现SSO
举报原因:
原因补充:

(最多只允许输入30个字)