Domino与AD帐户同步并且与AD域实现SSO

原创 2010年05月20日 15:57:00

介绍

当客户环境中已存在Microsoft Active Directory(简称AD),而且依赖于AD已有许多应用。客户要求使用AD现有用户登录至Domino中。

AD中通过Domino ADSYNC服务同步至Domino中时,请注意以下:

不能自动进行同步,每次同步信息需要管理员干涉;

不能同步密码

同步信息中不会有等价名属性,某些应用需要用户名Notes英文名(如:admin/ACME)和中文等价名(如:管理员/ACME)

如果AD中名(FirstName)和姓(LastName)为中文时,同步至Domino后,为中文,如:在AD

 

AD

同步后Domino

用户名:

张三

三 张/ACME

登录名:

squallzhong

Squallzhong

姓:

名:

根据以上所示,经过同步自成出来的邮件文件为三张.nsf,同步后的用户CN为三 张。同步过来的信息有可能对产品中现有应用模块的程序造成影响,请慎重。

 

如果AD中有以上描述情况,建议不使用Domino ADSYNC同步信息;将AD中的用户导出至电子表格,再注册为DOMINO用户;再给每个Domino用户添加AD帐户即可。这类情况则不需要配置Domino Active Directory同步,可跳过3.2-3.5

 

以下配置实例为Domino ServerIIS在同一台服务器上

环境要求

服务器至少两台

 

  • 域控制器,已如已有则省略
  • 应用服务器,安装IIS和Domino服务器

 

注:建议IISDomino服务器分在不同服务器上部署。方便扩展,推荐以下网络结构:

服务器基本配置

平台

Microsoft Windows 2003

支持操作系统

Microsoft Windows 2000 Server Standard Edition;

Microsoft Windows 2000 Server Enterprise Edition;

Microsoft Windows 2003 Server Standard Edition;

Microsoft Windows 2003 Server Enterprise Edition;

Microsoft Windows 2003 Server x64 Edition

处理器支持

Intel Pentiuma或更高(32位和64)

内存

1 GB minimum

1 GB or more recommended per CPU

磁盘空间

1.5 GB以上/分区

交换空间

建议:物理内存x2

显示器

彩色显示器



软件要求

  • 一个名称解析法,比如:域名系统(Domain Name System,DNS)、DNS动态更新协议、Windows Internet名称服务(Windows Internet Name Service,WINS)、HOSTS等等。
  • 一个现有的域模型(可选)。
  • 所有的节点必须是同一个域的成员。
  • 一个域级帐户,必须是每个节点上的本地管理员组的成员。建议采用专用帐户。
  • Windows Server 2003 Enterprise Edition或以上
  • Lotus Domino Sever R7.03或以上
  • Microsoft IIS 5.2或以上

具体配置

安装Windows 2003,并部署Active Directory服务

此步骤不是本文描述重点,关于AD部署请查阅相关资料

安装Lotus Domino Server及Lotus Domino Administrator

具体步骤请参见:Domino R8.0.x安装 for Windows

设置 Domino Active Directory 同步

打开命令提示符。从 Notes 安装目录,键入:

regsvr32 nadsync.dll

此时将出现一个消息框,指出注册已完成。此过程可能需要一分钟。如下图:

注:一定是Notes的程序目录,请不要在Lotus Domino Server的程序目录上执行。

创建组织策略或独立策略以及“注册策略设置”文档

要使用 ADSync,必须至少有一个策略。 打开Domino Administrator,连接至Domino服务器;如下图:

点击“确定”后出现如下图:
点击“设置类型”中注册的“新建…”按钮,出现如下图:

设置好后,单击“保存并关闭”,如下图:

单击“保存并关闭”即可。

在Active Directory中设置Domino 目录同步

从“开始”菜单中,单击“程序”“管理工具”“Active Directory 用户和计算机”。单击“Lotus Domino 选项”文件夹,用鼠标右键单击“Domino 目录同步”,然后选择“选项”,如下图:

点击“选项”后,出现如下图:

输入密码后,进行初始化。初始化成功后,出现以下提示:

点击“确定”后,出现以下对话框:


设置好以上如图所示后,点击“确定”。关闭并重新启动 Active Directory 用户和计算机以使更改生效。

安装IIS

IIS安装比较简单,不在此详细描述,相关文章大家可以在网上搜索得到。修改

Domino HTTP设置

服务器配置文档相关修改值

项目

WEB端口

81

会话验证

单服务器

此服务器是否使用IIS

协议

http

主机名称

Apps.acme.com

端口号

80



重启服务器即可。

布署Domino ISAPI插件

将WebSphere.rar解压至C:/;如下:
执行config目录下的config.reg;
编辑config目录下的plugin-cfg.xml文件;

如全限主机名:oa.acme.com,端口:81

注:如果IISDOMINO服务器在同一台服务器时,DOMINO服务器不能使用80端口,只能使用其他端口。80端口必须给IIS使用。

设置IIS

启动IIS管理工具,如下图:

添加WEB服务扩展,如下图:

单击“确定”后,如下图:

添加“ISAPI筛选器”,在左边树,“网站”处,点击右键,选择“属性”;点击“ISAPI筛选器”标签,再点击“添加…”,如下图:

点击“确定”后,即可。

点击“目录安全性”标签,点击“身份验证和访问控制”区段中的“编辑”按钮,如下图:

取消“启用匿名访问”,确认“集成Windows身份验证”已选中,点击“确定”即可。

设置主目录,如下图:

主目录的本地路径:%DominoDataPath%/domino/html目录;

将C:/WebSphere/AppServer/etc目录下的default.htm拷贝至主目录下。

在默认网站中创建一个虚拟目录,名称为:sePlugins,如下图:

sePlugins权限如下:

取消“启用匿名访问”,确认“集成Windows身份验证”已选中,点击“确定”即可。

为保证IIS设置被更新,请重新启动IIS服务。

修改服务器notes.ini文件

Notes.ini文件在%DominoPath%目录下(分区服务器在%DominoData%目录下);使用记事本打开此文件,在最后一行添加以下参数:

HTTPEnableConnectorHeaders=1

修改Domino地址本个人文档

需要使用AD帐户登录OA的用户,需要在对应的Domino地址本中个人文档的用户名域中添加域帐号,格式为<>/登录名,如下图:

相关链接

 

 

 

使用及诊断

同步现有AD用户至DOMINO

点击“在Domino中注册…”,出现以下图:

点击“立即注册”,出现以下图:

选择验证者标识路径,并输入验证者密码后,点击“确认”。

注:此操作仅限于在AD中已存在用户,但在Domino中并未存在的用户。

从AD中注册用户,并同时注册至Domino

设置好AD帐户的用户信息和密码后,点击“下一步”出现以下图:

点击“下一步”完成,即可完成注册

测试

http://iis.acme.com 

返回IIS缺省页面 

http://iis.acme.com/homepage.nsf 

返回Domino缺省页面 


以上如果能正常返回,则说明配置成功。

在IIS 64bits上运行32位IIS程序

运行以下命令:

cscript.exe adsutil.vbs set W3SVC/AppPools/Enable32BitAppOnWin64 1

参考链接:http://blogs.technet.com/mbaher/archive/2006/12/17/running-iis-32-bit-applications-on-iis-64-bit.aspx

IIS与DOMINO HTTP分别工作正常,使用IIS跳转至DOMINO HTTP时,出现下载.nsf文件

此问题,请确认IIS根目录是否有执行权限,sePlugins是否有读取权限,具体设置请参考2.9

出现”Service Unavailable” 503错误


出现以上错误时,请查看Windows2003日志具体信息,如下图:

说明ISAPI加载失败,如下图:

出现以上原因是相关插件与平台不符合所致。

IIS与DOMINO HTTP分别工作正常,使用IIS跳转至DOMINO HTTP时,出现404的错误

此问题,请确定3.10是否已经设置

使用NTKO控件提交文档时,不能正常提交,报错

此问题,请确定3.7 修改Domino HTTP设置3.9设置IIS是否设置正确,与图示完全一致。

登录域以后,不需要再次登录OA系统相关设置

将IIS和DOMINO的相关域名,加入至IE的可信任网站。如:iis.acme.com和oa.acme.com,如下图:

点击受信任的站点的“自定义级别…”,修改用户验证登录选项。如下图:

 

实现微软AD与Domino OA系统的互连互用

1. 用户需求与面临的问题    当前用户已有MS Active Directory Server(简称:AD)作为统一用户管理平台。AD对多个应用的用户验证和用户的基本信息进行维护,其中包括对用户的...
  • xuhuojun
  • xuhuojun
  • 2011年05月30日 22:34
  • 8206

Domino与AD账户同步(一)

向Domino同步AD账户 Domino与AD在实际企业的应用系统中是经常用到的两个软件产品。之所以是提到AD,是这两个系统经常要做用户的统一认证。其实Domino客户端安装包中提供一个叫ADSyn...
  • sujianyu
  • sujianyu
  • 2017年05月10日 12:10
  • 189

AD不同步造成Exchange邮箱异常

前几天,有一个朋友打电话给我,反应他们公司出现一个问题,所有新建Exchange Server 2007用户的邮箱都不能访问,然后在邮箱数据库下面却发现邮箱的确存在,并无异常,邮件系统日志也无异常。后...
  • xuhuojun
  • xuhuojun
  • 2011年05月27日 19:11
  • 7127

AD域(Ldap)作为外部认证方式时候的配置说明

AD域(Ldap)作为外部认证方式时候的配置说明工作背景: 由于工作的需要,长期基于客户的AD域服务器做Ldap接口接入,一直都没有搭建自己的AD域服务器。此次的工作很独特,客户的AD域接入,需要完全...
  • s445320
  • s445320
  • 2016年03月27日 15:10
  • 11307

在sharepoint2010中如何让AD域账号跟sharepoint账号同步

将AD中的数据导入SharePoint 2010   2011-05-04 14:43:07|  分类:Moss |字号 订阅 操作环境(多服务器环境): SharePoint...
  • postfxj
  • postfxj
  • 2013年06月22日 09:26
  • 5802

redmine与AD集成实现账号统一认证

redmine有一个ladp认证,具体用管理账号登陆系统----管理----LDAP 认证 第一步: •新建LDAP认证    在LDAP认证页面, 点击右上角的 新建认证模式 链接, ...
  • weiguang1017
  • weiguang1017
  • 2015年12月03日 17:59
  • 4019

使用Azure上的Azure AD服务管理Office 365账户(无缝打通Azure和Office 365)

Office 365的各个组件运行在Azure AD服务至上,但是在Office 365上面,对账户底层的访问,操作权限有限,整合Azure服务、Office 365、企业内部系统看上去会很困难。 ...
  • accado
  • accado
  • 2014年11月22日 21:26
  • 11473

腾讯通RTX LDAP 同步 账号验证 AD DS

The new version of rtx-ldap synchronizer published. It provides a utility for users to changes their...
  • arrenzhang
  • arrenzhang
  • 2011年03月12日 01:39
  • 3633

AD域登录过程详解

您现在的位置:首页 > 嘉为原创 > 系统技术 > 详情 AD域登录过程详解 赵海兵 IT咨询顾问   网络及系统技术工程师、IT系统服务工程师、微...
  • baidu_23564015
  • baidu_23564015
  • 2016年05月13日 15:21
  • 5476

AD域和第三方进行用户对接的注意事项

以下是我在工作中的一些总结1:为每个用户都生成一个唯一的IDenv.put("java.naming.ldap.attributes.binary", "objectSid"); 以上参数设置在lda...
  • jingzi0418
  • jingzi0418
  • 2016年04月12日 13:27
  • 1305
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:Domino与AD帐户同步并且与AD域实现SSO
举报原因:
原因补充:

(最多只允许输入30个字)