Domino
配置LDAP认证说明
1 概述
本文介绍了
Domino LDAP
配置过程。具体的细节,请参考
Domino Administrator
帮助中的“目录服务”一节。
2 运行环境
(
1
)
Domino
域名是
people-domino
;
(
2
)
Domino
组织名是
people2000
;
(
3
)
Domino
服务器名是
people-domino/people2000
,其
Internet
主机名为
people-domino.people2000.com
,
IP
地址是
192.168.86.116
;
(
4
)
Domino
服务器安装的是企业版V8.5;
(
5
)
Domino
管理员帐户是
Admin
;
(
6
)服务器操作系统是
Windows XP
专业版。
3 domino安装以及配置
3.1Domino群组软件的安装
3.1.1 运行dominoV8.5的安装程序
安装类型这里选择Domino Enterprise Server。成功安装之后,桌面有Lotus Domino Server图标。然后可选安装的是Domino的中文语言包。
3.1.2 Lotus Domino Server初始化
选择set up the first server选项,其他的按照推荐进行设置。
服务器类型选择界面中选择HTTP service、LDAP service和Mail Service,如下图:
在Domino服务器安全性界面,
不要选择“Prohibit Anonymous access to all database ”这一项,如下图:
在这里,将Domino的域设为people-domino,组织名设为people2000,Domino服务器为people-domino/people2000,这样就完成了Domino Server的安装。再次双击桌面图标运行服务器。
3.1.3 Domino Administrator的安装
为了管理方便,这里再安装Domino Administrator,它是Lotus Notes Domino Designer And Admin Client.v8.5软件包的一部分。安装前,确保系统已经安装了WindowsInstaller-KB893803-v2补丁。
运行该安装程序,在自定义安装界面,选中Domino Administrator,如下图:
完成Domino Administrator的安装。
启动Domino Administrator输入服务器地址及用户名密码即可登陆到Domino Server。
3.2Domino Web Server的配置
启动Domino Admin,在Domino Admin配置界面下双击Domino服务器,如下图
打开服务器之后,
点击编辑服务器,
可以查看端口等信息,这里使用Domino Web服务器端口80,如下图:
修改之后保存关闭,在Domino控制端输入tell http restart命令重启http服务器,访问http://127.0.0.1 即可看到页面,这样就完成了最简单的web设置。还可以在这里根据需要做一些其它的配置,如启用日志记录等等。
3.3Domino LDAP Server的配置
3.3.1 Domino LDAP端口的定制
可以在在2.2中的服务器编辑页面中修改LDAP服务器的端口号,这里使用默认的389端口,无需修改,如下图:
3.3.2 配置LDAP的Internet站点参数
首先继续①中的服务器编辑,启用“从服务器\Internet站点文档加载Internet配置”,如下图:
最后保存并关闭。
然后在web下的Internet Sites下添加LDAP站点,如下图:
设置LDAP站点参数,这里将LDAP站点的组织设为:people2000
记住组织名,然后保存关闭。
3.3.3 配置LDAP设置
点击目录设置下的LDAP设置
如果出现如下提示窗口,点击“是”:
否则点击编辑LDAP设置,一般不需要对LDAP的默认设置做修改,保存关闭即可。
3.3.4 设置“全局网络域”
在服务器配置页面中,添加网络域,如下图:
各项参数设置如下所示:
点击“保存并关闭”。
这样就完成了Domino LDAP服务器的设置了,可以使用LDAP客户端连接到LDAP服务器了。
3.3.5 LDAP目录条目的添加
在Domino Admin的Files几面中,可以看到names.nsf是LDAP服务器的默认目录数据库。
双击打开该数据库,可以对数据库中的条目进行增删,这里向数据库中添加一个ikeytest个人:
其中姓为必填项,将用户名设为[姓]/[组织名](这里是ikeytest/people2000),意为ikeytest个人属于people2000组织,输入密钥,确定。最后保存并关闭。
3.3.6 配置Domino 目录服务
Domino服务器必须有“目录服务”数据库才可以提供目录服务。这一步主要有:(
1)从 DA50.NTF 模板创建“目录服务”数据库。(2)将“目录服务”数据库文件名添加到Domino服务器的“Domino 目录服务器”文档的“‘目录服务’数据库名称”域中。(3)在“目录服务”数据库中创建“Directory Assistance”
文档,用来描述特定目录以及如何使用该目录,并定义如何连接到该目录以及如何查找用于故障转移的备
用复本。
(一)创建“目录服务”数据库
打开Domino Administrator,新建“目录服务”数据库
“确定”后,新建的数据库将被打开,请关闭它。
(二)设置
Domino 服务器以使用“目录服务”数据库
填入刚才创建的“目录服务”数据库的文件名da50.nsf。保存并关闭。重新启动Domino 服务
器,以使该服务器可以检测到“目录服务”数据库文件名。
(三)为
Domino 目录创建“
Directory Assistance”文档
上图中得配置信息为域上的信息,保存后,建议重新启动Domino 服务器。
把Domino中的用户名添加到AD中,在这个样例中我们使用AD“描述”字段来存放Domino的用户名称。
使用在认证服务器上绑定令牌的域用户
test和动态密码,登陆domino测试成功。
备注:1.配置好以上操作后,如果域服务器上未安装
windowspam,修改配置文件win32pam.ini里的RunLevel=3,填写认证服务器IP,在AgentAccount=administrator添加ikeytest(同DIRECTORY ASSISTANCE窗口中Optioanl authentication credential 项中Username的第一个CN值),中间用“逗号”隔开,保存并安装pam,双击运行install.bat,安装完成后,进入newregist 90days文件夹运行newregist 90days.exe,完成后从新启动域服务器。
如果已经安装了进入
C:\WINDOWS\system32,修改配置文件win32pam.ini里的RunLevel=3,填写认证服务器IP,在AgentAccount=administrator添加ikeytest(同DIRECTORY ASSISTANCE窗口中Optioanl authentication credential 项中Username的第一个CN值),中间用“逗号”隔开,保存。
2. 登录
iKEY管理系统,建立应用windows。添加认证帐户,选择windows应用,输入要绑定的令牌的用户名,帐户名输入域服务器存在的域用户名。
3.访问
domino服务器时,输入输入域用户名和绑定令牌的动态密码,进行登录。