HTTP、POP3用户使用AD验证访问Lotus Domino-阿里云开发者社区

开发者社区> 技术小阿哥> 正文

HTTP、POP3用户使用AD验证访问Lotus Domino

简介:
+关注继续查看

我们知道,Domino lotus有一台自己的目录,如果在域环境下使用的话比较麻烦,需要管理两套密码,为了解决这个问题,我们让Domino lotus用户通过AD作验证,具体见下;

实验环境:

Hostname:gavin-DC.gavin.com

Ip:192.168.221.254

Roles:DC、DNS

Hostname:gavin-mail.gavin.com

Ip:192.168.221.10

Roles:domino server

Hostname:gavin-mail01.gavin.com

Ip:192.168.221.11

Roles:domino server

clip_image001

一、HTTP协议

http用户使用AD验证访问Lotus Domino

在AD及Domino内创建验证用户(在此使用sysadmin),并且加入到Domain admin组内。

clip_image003

clip_image005

.2 在域内使用setspn.exe工具注册http服务的管理

通过setspn –a HTTP/gavin-mail.gavin.com sysadmin

clip_image007

然后用sysadmin用户启动lotus domino services

clip_image009

clip_image011

通过 Domino Administrator 在 Lotus Domino 应用程序服务器上创建 Web SSO 配置文档 , Web SSO 配置文档是存储在 Domino 目录中的网络域范围内的配置文档。该文档(应复制到参与一次登录网络域的所有服务器)将针对参与服务器和管理员进行加密,并包含一个共享密钥,以供服务器用来验证用户证书。

在 Domino Administrator 中,选择配置标签,在导航栏中扩展服务器图标后选择“所有服务器文档”,从“Web... ”下拉菜单中选择创建 Web SSO 配置文档。完成文档余下部分,如下图:

image

image

clip_image013

clip_image015

CONSOLE_LOG_ENABLED=1 ---> Enables logging of all console output \ \ \ \ IBM_Technical_Support \ \ console.log 
Debug_SSO_Trace_Level=2 --->allows debugging of the SSO token - after a reboot of the HTTP ("restart task http")

DEBUG_HTTP_SERVER_SPNEGO=5 ---> allows debugging of SPNEGO tokens - after a reboot of the HTTP ("restart task http")

Webauth_verbose_trace=1 ---> Enable debugging for the authentication web-resolution mapping of names and DA to external LDAP - with immediate effect 
Debug_outfile=c:\tmp\Spnegonotes.log --->enables the SPNEGO trace in a file

image

确认该用户通过kerberos进行验证的

clip_image017

第二、POP3用户使用AD验证访问Domino Lotus

首先创建DA数据库,使用 Domino Directory Assistance 连接原有 Microsoft Active Directory

当依赖于原有 Active Directory 的企业应用很多,并且对目录服务器的类型依赖性很强时,Active Directory 需要被保留下来继续提供目录服务。而在 Domino 服务器当中部署新的应用时,有时需要对原有 Active Directory 当中的用户等信息进行搜索,或者使用其中的用户名、密码进行身份验证,这就要求 Domino 服务器能够对 Active Directory 当中的目录信息进行访问。这时 Domino 服务器可以使用 Domino Directory Assistance 来连接原有 Microsoft Active Directory 目录服务器,实现对 Domino Directory 的扩展。“Domino Directory Assistance”是对 Domino Directory 的一种扩展方式,通过它实现了对 Domino 本地主地址本之外的其他目录信息进行访问的方法,每一个“Directory Assistance”配置文档定义了所要连接的一个外部目录服务的具体位置、访问方式以及认证信息等具体目录属性。

要使用 Domino Directory Assistance 连接 Microsoft Active Directory,首先需要在 Domino 服务器端使用 da50.ntf 模版创建 Directory Assistance 数据库。打开创建后的数据库,添加 Directory Assistance 配置文档,一个 Domino 服务器可以使用 Domino Directory Assistance 数据库当中的多个配置文档同时连接多个外部目录。

文件---应用程序---新建

clip_image019

clip_image021

在 Directory Assistance 配置文档的“Basics”选项附签上,“Domain type”项选择“LDAP

clip_image023

clip_image025

在“LDAP”附签设置上需要配置远程 Active Directory 的“Hostname”、“ Port”、“Optional Authentication Credential”以及“Base DN for search”等参数(参考图 10)。在配置的过程当中可以使用每项配置参数对应的“Suggest”或“Verify”等按钮帮助更好的进行设置,这是 Domino 8.0 当中提供的新功能。

clip_image027

设置完成后保存文档并关闭。要使创建好的 Directory Assistance 数据库设置生效,需要将其添加到 Domino 服务器文档当中。从 Domino Administrator 客户端打开 Domino 服务器,单击“Configuration”附签;在左侧窗格中的 Server > All Server Documents 列表当中选择特定的服务器文档,然后单击“Edit Server”;在“Basics”附签“Directory Information”区段的“Directory assistance database name”域中,输入创建好的 Directory Assistance 数据库文件名,例如 da.nsf(参考图 11),在对修改的 Domino 服务器文档进行保存后需要重新启动 Domino 服务器以使其生效。

clip_image029

2. 扩展AD用户的属性。

如果在domino环境下通过AD做验证,就必须在 AD中将mailfile等字段添加到用户属性中;添加在字段需要通过域架构工具来完成,要打开域架构工具,需要注册schmmgmt.dll,

册了它之后,才能用mmc控制台来管理它。(这个控件是操作系统自带的)

ad架构这个选项我们起初是在mmc中默认不显示的,如想看到这个选项我们需要在开始运行里面输入regsvr32 schmmgmt,开启这个功能

Regsvr32 schmgmt

clip_image031

MMC---添加—ad架构

clip_image033

我们看到在架构中有两个选项,1类别,也就是我们经常所说的类,对象,实例 2 属性,就是对象的属性,我们简单察看下里面包含了我们所有的对象,及属性。比如user类,名称属性。

clip_image035

首先新建Mailfile属性,右键点击属性新建-属性填入相关信息

clip_image037

clip_image039

http://hi.baidu.com/liwya/item/16de4a80c6c522cdee083d72

ldap名称是以后我们通过程序赋值的时候的名称,x500命名需要注意oid(object id)的命名规则,这个命名规则很麻烦其中中国区的命名是以2.16.156开头 ( China),有国际标准规定

填完 相关数据后点击确定 3 属性是属于对象的,这里我们将我们创建的学号属性赋给user对象

在类别中找到user,然后属性-属性-添加,找到我们刚添加过的属性,点确定

clip_image041

属性是属于对象的,这里我们将我们创建的Mailfile属性赋给user对象

在类别中找到user,然后属性-属性-添加,找到我们刚添加过的属性,点确定。

clip_image042

clip_image044

clip_image046

如何验证我们这个属性已经赋给user(用户)了呢,我们需要新建一个用户,在这里我在扩展过之后在ad里面创建了一个名为li的用户,然后我们打开 adsiedit进行察看,在路径中找到li这个用户,点击属性,我们就可以在里面看到我们添加过的属性了。注:我们手动添加的属性在用户及计算 机管理里面以及其他任何图形界面是看不到的。但是exchange那些架构扩展属性是能够看得到的

clip_image048

然后对应用户的mailbox.nsf路径

mail\xxx.nsf

clip_image050

3.

将用户在AD下对应的信息添加到Domino下对应用户邮箱的ACL中,

我们首先通过工具查看用户的所在AD内的架构信息

CN=bob,OU=Domain Users,OU=Gavin-Object,DC=gavin,DC=com

clip_image052

然后拷贝出用户所在的AD内的详细信息后,将,(逗号替换成斜线)

CN=bob,OU=Domain Users,OU=Gavin-Object,DC=gavin,DC=com

CN=bob/OU=Domain Users/OU=Gavin-Object/DC=gavin/DC=com

clip_image054

然后将更改后的信息添加到domino下对应用户的ACL中,

clip_image056

clip_image058

通过AD做验证

clip_image060

如果不添加参数上,用户直接通过服务器访问

clip_image062

如果用户邮箱有别名,目前的方法是创建邮箱内用户在AD内对应的 别名

以下为userr1测试,user1的别名写成testuser1

我们需要在AD内创建testuser1

clip_image064

clip_image066

clip_image068

clip_image070

clip_image072

clip_image074




本文转自 高文龙 51CTO博客,原文链接:http://blog.51cto.com/gaowenlong/1320854,如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
8837 0
使用NAT网关轻松为单台云服务器设置多个公网IP
在应用中,有时会遇到用户询问如何使单台云服务器具备多个公网IP的问题。 具体如何操作呢,有了NAT网关这个也不是难题。
26674 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,大概有三种登录方式:
2865 0
阿里云服务器ECS远程登录用户名密码查询方法
阿里云服务器ECS远程连接登录输入用户名和密码,阿里云没有默认密码,如果购买时没设置需要先重置实例密码,Windows用户名是administrator,Linux账号是root,阿小云来详细说下阿里云服务器远程登录连接用户名和密码查询方法
11067 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
10652 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
12479 0
windows server 2008阿里云ECS服务器安全设置
最近我们Sinesafe安全公司在为客户使用阿里云ecs服务器做安全的过程中,发现服务器基础安全性都没有做。为了为站长们提供更加有效的安全基础解决方案,我们Sinesafe将对阿里云服务器win2008 系统进行基础安全部署实战过程! 比较重要的几部分 1.
8932 0
如何设置阿里云服务器安全组?阿里云安全组规则详细解说
阿里云安全组设置详细图文教程(收藏起来) 阿里云服务器安全组设置规则分享,阿里云服务器安全组如何放行端口设置教程。阿里云会要求客户设置安全组,如果不设置,阿里云会指定默认的安全组。那么,这个安全组是什么呢?顾名思义,就是为了服务器安全设置的。安全组其实就是一个虚拟的防火墙,可以让用户从端口、IP的维度来筛选对应服务器的访问者,从而形成一个云上的安全域。
7354 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,云吞铺子总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系统盘、创建快照、配置安全组等操作如何登录ECS云服务器控制台? 1、先登录到阿里云ECS服务器控制台 2、点击顶部的“控制台” 3、通过左侧栏,切换到“云服务器ECS”即可,如下图所示 通过ECS控制台的远程连接来登录到云服务器 阿里云ECS云服务器自带远程连接功能,使用该功能可以登录到云服务器,简单且方便,如下图:点击“远程连接”,第一次连接会自动生成6位数字密码,输入密码即可登录到云服务器上。
21770 0
13694
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载