Domino与AD账户同步(二)

向AD服务器同步Domino账户

在第一章中，笔者向大家介绍了由AD服务器向Domino同步账户的情况。反之，由Domino向AD服务器同步账户也是可以进行的。当然，我们所说的账户同步是对names库而言的。

首先，让我们来看看配置参数。此处配置参数会根据同步方向的变化自动显隐。这是因为向Domino同步和向AD同步时，需要的参数是不一样的，因此笔者决定为了使用者更方便，将不需要的参数隐藏起来。下面笔者简单说明下向AD同步时需要的几个参数的用途。
1. LDAP域：AD服务器所在的域。
2. 秘钥库：向AD服务器同步用户时，也需要同时初始化密码。只有SSL连接方式才允许修改密码，这就需要证书支持，密钥库就是存放证书信息的文件。这里是可以上传密钥库附件的。
3. 秘钥库密码：读取证书信息是需要密码的。
    有读者可能不清楚秘钥库是怎么来的，在这里笔者简单说一下。首先，AD服务器一般都配合证书服务使用的，安装了证书服务后都会有一个根证书。此根证书就是我们需要的。有了根证书之后，我们还需要将其导出到密钥库内使用。这里就要用到keytool工具，keytool是一个java的证书管理工具，具体用法笔者不再赘述，有兴趣的读者可以上百度搜一下，介绍的资料是很多的。笔者只把命令格式提供给读者用于参考：
keytool -import  -alias adsync  -keystore d:\adsync.store -file d:\adserver.cer -storepass changeit
4. 同步组织机构：此参数是通用的，但是在此处的意义是不一样的。此处表示的是用户同步的目的地。通俗点说，就是所有用户都是同步到此组织单元的下。
5. 用户初始密码：如果账户在AD服务器中不存在，就添加账户，同时初始化用户密码。
    笔者开发的工具一般用在如下几个场景。新安装AD服务器、已有AD服务器及Domino，但两边的用户不同。
    咱们先看看新安装AD服务器的情况。在新安装的AD服务器中，默认是有这些用户和群组的

但是没有普通用户，如果再一个一个去注册，显然费事而且容易出错。现在这都不需要了，只需配置好参数，剩下的工作就可以交给程序去完成了。

在Domino服务器上已有用户:

此时运行程序:

程序运行完毕后，查看AD服务器的情况。

在Domino的names.nsf库中的所有用户自动同步到AD服务器中了。
    再一种情况是，AD服务器中已经有部分用户，但与Domino服务器没有同步。此工具也能进行账户的检测，如果账户已经存在，则不操作，只有不存在的账户才进行同步。这就保证了两边的账户始终保持一致。
    如果想做到自动同步账户，只需将程序配置为自动运行代理，即可做到无人值守。