同时使用Notes通讯簿和Active Directory进行Domino身份验证

时间:2017-10-05 16:00:50

标签: authentication lotus-domino

我们希望允许IBM Notes和Active Directory身份验证用于Domino应用程序服务器,至少目前是这样。对于邮件,员工正在逐渐从Notes转移到O365(使用AD),因此这将允许两种方法在过渡期间用于应用程序。我的问题与this question有点类似,但更具体。我们基本上遵循了这个IBM technote,将可分辨名称添加到AD,设置目录服务(DA),并且它在某种程度上有效。这就是我们发现的:

  • 使用AD帐户登录后,Domino服务器会将AD帐户与Notes帐户正确匹配,从而使用Domino进行授权。这意味着Notes组,角色,ACL等正常工作。例如,对于一个应用程序,我在一个浏览器中使用我的AD帐户登录,在另一个浏览器中使用我的Notes帐户登录。保存两者中的更改后,我可以看到每个浏览器中的更改(仅基于@Username显示的文档)。在后端,所有文档都由同一个Notes用户更新。因此,有两种方法可以对同一个Notes帐户进行身份验证。

  • 在生产服务器上(与Notes LDAP位于同一个Domino域中),使用AD帐户登录会强制更改密码页面。请注意,Notes帐户仍具有其密码和密码过期策略。我承认,如果我们删除它们,它应该可行,但这不是我们现在想要做的事情。

  • 在生产服务器上,使用不在Domino中的AD帐户登录几乎是即时的。否则,可能需要大约10秒钟(这是不可接受的)。

  • 当登录到另一台Domino服务器时,在与LDAP不同的Domino域中,登录仍然很慢,如上所述,但不会显示更改密码页。

  • 从Domino服务器,我们可以ping AD,跟踪只显示两个跃点。

  • 更改DA中AD的顺序似乎对缓慢没有任何影响,也没有禁用Notes目录。

知道如何同时使用Domino和AD对Domino应用程序服务器进行身份验证吗?有人能够做到这一点吗?您是否找到了加快身份验证过程的方法?另外,您是否看过此示例中的更改密码页面,如果是,您是如何解决此问题的?

提前谢谢你。

1 个答案:

答案 0 :(得分:0)

对于其他需要帮助的人,我们向IBM寻求帮助,这就是答案:

  1. 为了删除"更改密码"页面,清除" PasswordDigest"的值人员文件中的字段。
  2. 要修复速度,请按照2014 documentation使用自定义LDAP过滤器。