0301.Lotus Domino与Windows AD帐户同步和SSO

介绍

当客户环境中已存在Microsoft Active Directory(简称AD),而且依赖于AD已有许多应用。客户要求使用AD现有用户登录至Domino中。

AD中通过Domino ADSYNC服务同步至Domino中时,请注意以下:

不能自动进行同步,每次同步信息需要管理员干涉;

不能同步密码

同步信息中不会有等价名属性,某些应用需要用户名Notes英文名(如:admin/ACME)和中文等价名(如:管理员/ACME)

如果AD中名(FirstName)和姓(LastName)为中文时,同步至Domino后,为中文,如:在AD

 

AD

同步后Domino

用户名:

张三

三 张/ACME

登录名:

squallzhong

Squallzhong

姓:

名:

根据以上所示,经过同步自成出来的邮件文件为三张.nsf,同步后的用户CN为三 张。同步过来的信息有可能对产品中现有应用模块的程序造成影响,请慎重。

 

如果AD中有以上描述情况,建议不使用Domino ADSYNC同步信息;将AD中的用户导出至电子表格,再注册为DOMINO用户;再给每个Domino用户添加AD帐户即可。这类情况则不需要配置Domino Active Directory同步,可跳过3.2-3.5

 

以下配置实例为Domino ServerIIS在同一台服务器上

环境要求

服务器至少两台

 

  • 域控制器,已如已有则省略
  • 应用服务器,安装IIS和Domino服务器

 

注:建议 IIS Domino 服务器分在不同服务器上部署。方便扩展,推荐以下网络结构:

服务器基本配置

平台

Microsoft Windows 2003

支持操作系统

Microsoft Windows 2000 Server Standard Edition;

Microsoft Windows 2000 Server Enterprise Edition;

Microsoft Windows 2003 Server Standard Edition;

Microsoft Windows 2003 Server Enterprise Edition;

Microsoft Windows 2003 Server x64 Edition

处理器支持

Intel Pentiuma或更高(32位和64)

内存

1 GB minimum

1 GB or more recommended per CPU

磁盘空间

1.5 GB以上/分区

交换空间

建议:物理内存x2

显示器

彩色显示器

软件要求

  • 一个名称解析法,比如:域名系统(Domain Name System,DNS)、DNS动态更新协议、Windows Internet名称服务(Windows Internet Name Service,WINS)、HOSTS等等。
  • 一个现有的域模型(可选)。
  • 所有的节点必须是同一个域的成员。
  • 一个域级帐户,必须是每个节点上的本地管理员组的成员。建议采用专用帐户。
  • Windows Server 2003 Enterprise Edition或以上
  • Lotus Domino Sever R7.03或以上
  • Microsoft IIS 5.2或以上

具体配置

安装Windows 2003,并部署Active Directory服务

此步骤不是本文描述重点,关于AD部署请查阅相关资料

安装Lotus Domino Server及Lotus Domino Administrator

具体步骤请参见:Domino R8.0.x安装 for Windows

设置 Domino Active Directory 同步

打开命令提示符。从 Notes 安装目录,键入:

regsvr32 nadsync.dll

此时将出现一个消息框,指出注册已完成。此过程可能需要一分钟。如下图:

注:一定是 Notes 的程序目录,请不要在 Lotus Domino Server 的程序目录上执行。

创建组织策略或独立策略以及“注册策略设置”文档

要使用 ADSync,必须至少有一个策略。 打开Domino Administrator,连接至Domino服务器;如下图:

点击“确定”后出现如下图:
点击“设置类型”中注册的“新建…”按钮,出现如下图:

设置好后,单击“保存并关闭”,如下图:

单击“保存并关闭”即可。

在Active Directory中设置Domino 目录同步

从“开始”菜单中,单击“程序”“管理工具”“Active Directory 用户和计算机”。单击“Lotus Domino 选项”文件夹,用鼠标右键单击“Domino 目录同步”,然后选择“选项”,如下图:

点击“选项”后,出现如下图:

输入密码后,进行初始化。初始化成功后,出现以下提示:

点击“确定”后,出现以下对话框:

设置好以上如图所示后,点击“确定”。关闭并重新启动 Active Directory 用户和计算机以使更改生效。

安装IIS

IIS安装比较简单,不在此详细描述,相关文章大家可以在网上搜索得到。修改

Domino HTTP设置

服务器配置文档相关修改值

项目

WEB端口

81

会话验证

单服务器

此服务器是否使用IIS

协议

http

主机名称

Apps.acme.com

端口号

80

重启服务器即可。

布署Domino ISAPI插件

将WebSphere.rar解压至C:\;如下:
执行config目录下的config.reg;
编辑config目录下的plugin-cfg.xml文件;

如全限主机名:oa.acme.com,端口:81

注:如果IISDOMINO服务器在同一台服务器时,DOMINO服务器不能使用80端口,只能使用其他端口。80端口必须给IIS使用。

设置IIS

启动IIS管理工具,如下图:

添加WEB服务扩展,如下图:

单击“确定”后,如下图:

添加“ISAPI筛选器”,在左边树,“网站”处,点击右键,选择“属性”;点击“ISAPI筛选器”标签,再点击“添加…”,如下图:

点击“确定”后,即可。

点击“目录安全性”标签,点击“身份验证和访问控制”区段中的“编辑”按钮,如下图:

取消“启用匿名访问”,确认“集成Windows身份验证”已选中,点击“确定”即可。

设置主目录,如下图:

主目录的本地路径:%DominoDataPath%\domino\html目录;

将C:\WebSphere\AppServer\etc目录下的default.htm拷贝至主目录下。

在默认网站中创建一个虚拟目录,名称为:sePlugins,如下图:

sePlugins权限如下:

取消“启用匿名访问”,确认“集成Windows身份验证”已选中,点击“确定”即可。

为保证IIS设置被更新,请重新启动IIS服务。

修改服务器notes.ini文件

Notes.ini文件在%DominoPath%目录下(分区服务器在%DominoData%目录下);使用记事本打开此文件,在最后一行添加以下参数:

HTTPEnableConnectorHeaders=1

修改Domino地址本个人文档

需要使用AD帐户登录OA的用户,需要在对应的Domino地址本中个人文档的用户名域中添加域帐号,格式为<>\登录名,如下图:

相关链接

 

 

 

使用及诊断

同步现有AD用户至DOMINO

点击“在Domino中注册…”,出现以下图:

点击“立即注册”,出现以下图:

选择验证者标识路径,并输入验证者密码后,点击“确认”。

注:此操作仅限于在AD中已存在用户,但在Domino中并未存在的用户。

从AD中注册用户,并同时注册至Domino

设置好AD帐户的用户信息和密码后,点击“下一步”出现以下图:

点击“下一步”完成,即可完成注册

测试

http://iis.acme.com 

返回IIS缺省页面 

http://iis.acme.com/homepage.nsf 

返回Domino缺省页面 


以上如果能正常返回,则说明配置成功。

在IIS 64bits上运行32位IIS程序

运行以下命令:

cscript.exe adsutil.vbs set W3SVC/AppPools/Enable32BitAppOnWin64 1

参考链接:http://blogs.technet.com/mbaher/archive/2006/12/17/running-iis-32-bit-applications-on-iis-64-bit.aspx

IIS与DOMINO HTTP分别工作正常,使用IIS跳转至DOMINO HTTP时,出现下载.nsf文件

此问题,请确认IIS根目录是否有执行权限,sePlugins是否有读取权限,具体设置请参考2.9

出现”Service Unavailable” 503错误


出现以上错误时,请查看Windows2003日志具体信息,如下图:

说明ISAPI加载失败,如下图:

出现以上原因是相关插件与平台不符合所致。

IIS与DOMINO HTTP分别工作正常,使用IIS跳转至DOMINO HTTP时,出现404的错误

此问题,请确定3.10是否已经设置

使用NTKO控件提交文档时,不能正常提交,报错

此问题,请确定 3.7 修改Domino HTTP设置3.9设置IIS是否设置正确,与图示完全一致。

登录域以后,不需要再次登录OA系统相关设置

将IIS和DOMINO的相关域名,加入至IE的可信任网站。如:iis.acme.com和oa.acme.com,如下图:

点击受信任的站点的“自定义级别…”,修改用户验证登录选项。如下图:

 

 

你可能感兴趣的:(windows)