HTTP、POP3用户使用AD验证访问Lotus Domino

简介:

我们知道,Domino lotus有一台自己的目录,如果在域环境下使用的话比较麻烦,需要管理两套密码,为了解决这个问题,我们让Domino lotus用户通过AD作验证,具体见下;

实验环境:

Hostname:gavin-DC.gavin.com

Ip:192.168.221.254

Roles:DC、DNS

Hostname:gavin-mail.gavin.com

Ip:192.168.221.10

Roles:domino server

Hostname:gavin-mail01.gavin.com

Ip:192.168.221.11

Roles:domino server

clip_image001

一、HTTP协议

http用户使用AD验证访问Lotus Domino

在AD及Domino内创建验证用户(在此使用sysadmin),并且加入到Domain admin组内。

clip_image003

clip_image005

.2 在域内使用setspn.exe工具注册http服务的管理

通过setspn –a HTTP/gavin-mail.gavin.com sysadmin

clip_image007

然后用sysadmin用户启动lotus domino services

clip_image009

clip_image011

通过 Domino Administrator 在 Lotus Domino 应用程序服务器上创建 Web SSO 配置文档 , Web SSO 配置文档是存储在 Domino 目录中的网络域范围内的配置文档。该文档(应复制到参与一次登录网络域的所有服务器)将针对参与服务器和管理员进行加密,并包含一个共享密钥,以供服务器用来验证用户证书。

在 Domino Administrator 中,选择配置标签,在导航栏中扩展服务器图标后选择“所有服务器文档”,从“Web... ”下拉菜单中选择创建 Web SSO 配置文档。完成文档余下部分,如下图:

image

image

clip_image013

clip_image015

CONSOLE_LOG_ENABLED=1 ---> Enables logging of all console output \ \ \ \ IBM_Technical_Support \ \ console.log 
Debug_SSO_Trace_Level=2 --->allows debugging of the SSO token - after a reboot of the HTTP ("restart task http")

DEBUG_HTTP_SERVER_SPNEGO=5 ---> allows debugging of SPNEGO tokens - after a reboot of the HTTP ("restart task http")

Webauth_verbose_trace=1 ---> Enable debugging for the authentication web-resolution mapping of names and DA to external LDAP - with immediate effect 
Debug_outfile=c:\tmp\Spnegonotes.log --->enables the SPNEGO trace in a file

image

确认该用户通过kerberos进行验证的

clip_image017

第二、POP3用户使用AD验证访问Domino Lotus

首先创建DA数据库,使用 Domino Directory Assistance 连接原有 Microsoft Active Directory

当依赖于原有 Active Directory 的企业应用很多,并且对目录服务器的类型依赖性很强时,Active Directory 需要被保留下来继续提供目录服务。而在 Domino 服务器当中部署新的应用时,有时需要对原有 Active Directory 当中的用户等信息进行搜索,或者使用其中的用户名、密码进行身份验证,这就要求 Domino 服务器能够对 Active Directory 当中的目录信息进行访问。这时 Domino 服务器可以使用 Domino Directory Assistance 来连接原有 Microsoft Active Directory 目录服务器,实现对 Domino Directory 的扩展。“Domino Directory Assistance”是对 Domino Directory 的一种扩展方式,通过它实现了对 Domino 本地主地址本之外的其他目录信息进行访问的方法,每一个“Directory Assistance”配置文档定义了所要连接的一个外部目录服务的具体位置、访问方式以及认证信息等具体目录属性。

要使用 Domino Directory Assistance 连接 Microsoft Active Directory,首先需要在 Domino 服务器端使用 da50.ntf 模版创建 Directory Assistance 数据库。打开创建后的数据库,添加 Directory Assistance 配置文档,一个 Domino 服务器可以使用 Domino Directory Assistance 数据库当中的多个配置文档同时连接多个外部目录。

文件---应用程序---新建

clip_image019

clip_image021

在 Directory Assistance 配置文档的“Basics”选项附签上,“Domain type”项选择“LDAP

clip_image023

clip_image025

在“LDAP”附签设置上需要配置远程 Active Directory 的“Hostname”、“ Port”、“Optional Authentication Credential”以及“Base DN for search”等参数(参考图 10)。在配置的过程当中可以使用每项配置参数对应的“Suggest”或“Verify”等按钮帮助更好的进行设置,这是 Domino 8.0 当中提供的新功能。

clip_image027

设置完成后保存文档并关闭。要使创建好的 Directory Assistance 数据库设置生效,需要将其添加到 Domino 服务器文档当中。从 Domino Administrator 客户端打开 Domino 服务器,单击“Configuration”附签;在左侧窗格中的 Server > All Server Documents 列表当中选择特定的服务器文档,然后单击“Edit Server”;在“Basics”附签“Directory Information”区段的“Directory assistance database name”域中,输入创建好的 Directory Assistance 数据库文件名,例如 da.nsf(参考图 11),在对修改的 Domino 服务器文档进行保存后需要重新启动 Domino 服务器以使其生效。

clip_image029

2. 扩展AD用户的属性。

如果在domino环境下通过AD做验证,就必须在 AD中将mailfile等字段添加到用户属性中;添加在字段需要通过域架构工具来完成,要打开域架构工具,需要注册schmmgmt.dll,

册了它之后,才能用mmc控制台来管理它。(这个控件是操作系统自带的)

ad架构这个选项我们起初是在mmc中默认不显示的,如想看到这个选项我们需要在开始运行里面输入regsvr32 schmmgmt,开启这个功能

Regsvr32 schmgmt

clip_image031

MMC---添加—ad架构

clip_image033

我们看到在架构中有两个选项,1类别,也就是我们经常所说的类,对象,实例 2 属性,就是对象的属性,我们简单察看下里面包含了我们所有的对象,及属性。比如user类,名称属性。

clip_image035

首先新建Mailfile属性,右键点击属性新建-属性填入相关信息

clip_image037

clip_image039

http://hi.baidu.com/liwya/item/16de4a80c6c522cdee083d72

ldap名称是以后我们通过程序赋值的时候的名称,x500命名需要注意oid(object id)的命名规则,这个命名规则很麻烦其中中国区的命名是以2.16.156开头 ( China),有国际标准规定

填完 相关数据后点击确定 3 属性是属于对象的,这里我们将我们创建的学号属性赋给user对象

在类别中找到user,然后属性-属性-添加,找到我们刚添加过的属性,点确定

clip_image041

属性是属于对象的,这里我们将我们创建的Mailfile属性赋给user对象

在类别中找到user,然后属性-属性-添加,找到我们刚添加过的属性,点确定。

clip_image042

clip_image044

clip_image046

如何验证我们这个属性已经赋给user(用户)了呢,我们需要新建一个用户,在这里我在扩展过之后在ad里面创建了一个名为li的用户,然后我们打开 adsiedit进行察看,在路径中找到li这个用户,点击属性,我们就可以在里面看到我们添加过的属性了。注:我们手动添加的属性在用户及计算 机管理里面以及其他任何图形界面是看不到的。但是exchange那些架构扩展属性是能够看得到的

clip_image048

然后对应用户的mailbox.nsf路径

mail\xxx.nsf

clip_image050

3.

将用户在AD下对应的信息添加到Domino下对应用户邮箱的ACL中,

我们首先通过工具查看用户的所在AD内的架构信息

CN=bob,OU=Domain Users,OU=Gavin-Object,DC=gavin,DC=com

clip_image052

然后拷贝出用户所在的AD内的详细信息后,将,(逗号替换成斜线)

CN=bob,OU=Domain Users,OU=Gavin-Object,DC=gavin,DC=com

CN=bob/OU=Domain Users/OU=Gavin-Object/DC=gavin/DC=com

clip_image054

然后将更改后的信息添加到domino下对应用户的ACL中,

clip_image056

clip_image058

通过AD做验证

clip_image060

如果不添加参数上,用户直接通过服务器访问

clip_image062

如果用户邮箱有别名,目前的方法是创建邮箱内用户在AD内对应的 别名

以下为userr1测试,user1的别名写成testuser1

我们需要在AD内创建testuser1

clip_image064

clip_image066

clip_image068

clip_image070

clip_image072

clip_image074




本文转自 高文龙 51CTO博客,原文链接:http://blog.51cto.com/gaowenlong/1320854,如需转载请自行联系原作者

相关文章
|
26天前
|
存储 网络安全 对象存储
缺乏中间证书导致通过HTTPS协议访问OSS异常
【10月更文挑战第4天】缺乏中间证书导致通过HTTPS协议访问OSS异常
51 4
|
24天前
|
安全 算法 量子技术
【HTTPS】中间人攻击和证书的验证
【HTTPS】中间人攻击和证书的验证
44 1
|
26天前
|
关系型数据库 MySQL 数据库
vertx 的http服务表单提交与mysql验证
本文介绍了如何使用Vert.x处理HTTP服务中的表单提交,并通过集成MySQL数据库进行验证,包括项目依赖配置、表单HTML代码和完整的Vert.x服务代码。
13 2
|
26天前
|
存储 缓存 安全
https访问提示不安全,证书密钥验证上如何解决
【10月更文挑战第4天】访问提示不安全,证书密钥验证上如何解决
148 2
|
5月前
|
安全 API 持续交付
阿里云云效产品使用问题之如何从流水线访问内网平台的HTTP接口
云效作为一款全面覆盖研发全生命周期管理的云端效能平台,致力于帮助企业实现高效协同、敏捷研发和持续交付。本合集收集整理了用户在使用云效过程中遇到的常见问题,问题涉及项目创建与管理、需求规划与迭代、代码托管与版本控制、自动化测试、持续集成与发布等方面。
|
24天前
|
编解码 JSON 安全
使用search-guard加固安全为https访问
使用search-guard加固安全为https访问
|
27天前
|
安全 网络安全 数据安全/隐私保护
HTTPS 请求中的证书验证详解(Python版)
HTTPS 请求中的证书验证详解(Python版)
67 0
|
3月前
|
算法 Java 测试技术
java 访问ingress https报错javax.net.ssl.SSLHandshakeException: Received fatal alert: protocol_version
java 访问ingress https报错javax.net.ssl.SSLHandshakeException: Received fatal alert: protocol_version
|
3月前
|
Web App开发 缓存 网络协议
HTTP3版本和实现验证
这篇文章详细介绍了HTTP3协议及其与HTTP2的比较,解释了HTTP3基于QUIC协议的工作原理,包括0-RTT恢复、H3-29草案等技术细节,并提供了验证网站HTTP3支持和浏览器支持的工具和方法。
43 1
|
3月前
|
安全 网络安全 Windows
【Azure App Service】遇见az命令访问HTTPS App Service 时遇见SSL证书问题,暂时跳过证书检查的办法
【Azure App Service】遇见az命令访问HTTPS App Service 时遇见SSL证书问题,暂时跳过证书检查的办法
【Azure App Service】遇见az命令访问HTTPS App Service 时遇见SSL证书问题,暂时跳过证书检查的办法