HTTP、POP3用户使用AD验证访问Lotus Domino

简介:

我们知道,Domino lotus有一台自己的目录,如果在域环境下使用的话比较麻烦,需要管理两套密码,为了解决这个问题,我们让Domino lotus用户通过AD作验证,具体见下;

实验环境:

Hostname:gavin-DC.gavin.com

Ip:192.168.221.254

Roles:DC、DNS

Hostname:gavin-mail.gavin.com

Ip:192.168.221.10

Roles:domino server

Hostname:gavin-mail01.gavin.com

Ip:192.168.221.11

Roles:domino server

clip_image001

一、HTTP协议

http用户使用AD验证访问Lotus Domino

在AD及Domino内创建验证用户(在此使用sysadmin),并且加入到Domain admin组内。

clip_image003

clip_image005

.2 在域内使用setspn.exe工具注册http服务的管理

通过setspn –a HTTP/gavin-mail.gavin.com sysadmin

clip_image007

然后用sysadmin用户启动lotus domino services

clip_image009

clip_image011

通过 Domino Administrator 在 Lotus Domino 应用程序服务器上创建 Web SSO 配置文档 , Web SSO 配置文档是存储在 Domino 目录中的网络域范围内的配置文档。该文档(应复制到参与一次登录网络域的所有服务器)将针对参与服务器和管理员进行加密,并包含一个共享密钥,以供服务器用来验证用户证书。

在 Domino Administrator 中,选择配置标签,在导航栏中扩展服务器图标后选择“所有服务器文档”,从“Web... ”下拉菜单中选择创建 Web SSO 配置文档。完成文档余下部分,如下图:

image

image

clip_image013

clip_image015

CONSOLE_LOG_ENABLED=1 ---> Enables logging of all console output \ \ \ \ IBM_Technical_Support \ \ console.log 
Debug_SSO_Trace_Level=2 --->allows debugging of the SSO token - after a reboot of the HTTP ("restart task http")

DEBUG_HTTP_SERVER_SPNEGO=5 ---> allows debugging of SPNEGO tokens - after a reboot of the HTTP ("restart task http")

Webauth_verbose_trace=1 ---> Enable debugging for the authentication web-resolution mapping of names and DA to external LDAP - with immediate effect 
Debug_outfile=c:\tmp\Spnegonotes.log --->enables the SPNEGO trace in a file

image

确认该用户通过kerberos进行验证的

clip_image017

第二、POP3用户使用AD验证访问Domino Lotus

首先创建DA数据库,使用 Domino Directory Assistance 连接原有 Microsoft Active Directory

当依赖于原有 Active Directory 的企业应用很多,并且对目录服务器的类型依赖性很强时,Active Directory 需要被保留下来继续提供目录服务。而在 Domino 服务器当中部署新的应用时,有时需要对原有 Active Directory 当中的用户等信息进行搜索,或者使用其中的用户名、密码进行身份验证,这就要求 Domino 服务器能够对 Active Directory 当中的目录信息进行访问。这时 Domino 服务器可以使用 Domino Directory Assistance 来连接原有 Microsoft Active Directory 目录服务器,实现对 Domino Directory 的扩展。“Domino Directory Assistance”是对 Domino Directory 的一种扩展方式,通过它实现了对 Domino 本地主地址本之外的其他目录信息进行访问的方法,每一个“Directory Assistance”配置文档定义了所要连接的一个外部目录服务的具体位置、访问方式以及认证信息等具体目录属性。

要使用 Domino Directory Assistance 连接 Microsoft Active Directory,首先需要在 Domino 服务器端使用 da50.ntf 模版创建 Directory Assistance 数据库。打开创建后的数据库,添加 Directory Assistance 配置文档,一个 Domino 服务器可以使用 Domino Directory Assistance 数据库当中的多个配置文档同时连接多个外部目录。

文件---应用程序---新建

clip_image019

clip_image021

在 Directory Assistance 配置文档的“Basics”选项附签上,“Domain type”项选择“LDAP

clip_image023

clip_image025

在“LDAP”附签设置上需要配置远程 Active Directory 的“Hostname”、“ Port”、“Optional Authentication Credential”以及“Base DN for search”等参数(参考图 10)。在配置的过程当中可以使用每项配置参数对应的“Suggest”或“Verify”等按钮帮助更好的进行设置,这是 Domino 8.0 当中提供的新功能。

clip_image027

设置完成后保存文档并关闭。要使创建好的 Directory Assistance 数据库设置生效,需要将其添加到 Domino 服务器文档当中。从 Domino Administrator 客户端打开 Domino 服务器,单击“Configuration”附签;在左侧窗格中的 Server > All Server Documents 列表当中选择特定的服务器文档,然后单击“Edit Server”;在“Basics”附签“Directory Information”区段的“Directory assistance database name”域中,输入创建好的 Directory Assistance 数据库文件名,例如 da.nsf(参考图 11),在对修改的 Domino 服务器文档进行保存后需要重新启动 Domino 服务器以使其生效。

clip_image029

2. 扩展AD用户的属性。

如果在domino环境下通过AD做验证,就必须在 AD中将mailfile等字段添加到用户属性中;添加在字段需要通过域架构工具来完成,要打开域架构工具,需要注册schmmgmt.dll,

册了它之后,才能用mmc控制台来管理它。(这个控件是操作系统自带的)

ad架构这个选项我们起初是在mmc中默认不显示的,如想看到这个选项我们需要在开始运行里面输入regsvr32 schmmgmt,开启这个功能

Regsvr32 schmgmt

clip_image031

MMC---添加—ad架构

clip_image033

我们看到在架构中有两个选项,1类别,也就是我们经常所说的类,对象,实例 2 属性,就是对象的属性,我们简单察看下里面包含了我们所有的对象,及属性。比如user类,名称属性。

clip_image035

首先新建Mailfile属性,右键点击属性新建-属性填入相关信息

clip_image037

clip_image039

http://hi.baidu.com/liwya/item/16de4a80c6c522cdee083d72

ldap名称是以后我们通过程序赋值的时候的名称,x500命名需要注意oid(object id)的命名规则,这个命名规则很麻烦其中中国区的命名是以2.16.156开头 ( China),有国际标准规定

填完 相关数据后点击确定 3 属性是属于对象的,这里我们将我们创建的学号属性赋给user对象

在类别中找到user,然后属性-属性-添加,找到我们刚添加过的属性,点确定

clip_image041

属性是属于对象的,这里我们将我们创建的Mailfile属性赋给user对象

在类别中找到user,然后属性-属性-添加,找到我们刚添加过的属性,点确定。

clip_image042

clip_image044

clip_image046

如何验证我们这个属性已经赋给user(用户)了呢,我们需要新建一个用户,在这里我在扩展过之后在ad里面创建了一个名为li的用户,然后我们打开 adsiedit进行察看,在路径中找到li这个用户,点击属性,我们就可以在里面看到我们添加过的属性了。注:我们手动添加的属性在用户及计算 机管理里面以及其他任何图形界面是看不到的。但是exchange那些架构扩展属性是能够看得到的

clip_image048

然后对应用户的mailbox.nsf路径

mail\xxx.nsf

clip_image050

3.

将用户在AD下对应的信息添加到Domino下对应用户邮箱的ACL中,

我们首先通过工具查看用户的所在AD内的架构信息

CN=bob,OU=Domain Users,OU=Gavin-Object,DC=gavin,DC=com

clip_image052

然后拷贝出用户所在的AD内的详细信息后,将,(逗号替换成斜线)

CN=bob,OU=Domain Users,OU=Gavin-Object,DC=gavin,DC=com

CN=bob/OU=Domain Users/OU=Gavin-Object/DC=gavin/DC=com

clip_image054

然后将更改后的信息添加到domino下对应用户的ACL中,

clip_image056

clip_image058

通过AD做验证

clip_image060

如果不添加参数上,用户直接通过服务器访问

clip_image062

如果用户邮箱有别名,目前的方法是创建邮箱内用户在AD内对应的 别名

以下为userr1测试,user1的别名写成testuser1

我们需要在AD内创建testuser1

clip_image064

clip_image066

clip_image068

clip_image070

clip_image072

clip_image074




本文转自 高文龙 51CTO博客,原文链接:http://blog.51cto.com/gaowenlong/1320854,如需转载请自行联系原作者

相关文章
|
2月前
|
Linux C语言 iOS开发
C语言结合AWTK开发HTTP接口访问界面
这样,我们就实现了在C语言中使用libcurl和AWTK来访问HTTP接口并在界面上显示结果。这只是一个基础的示例,你可以根据需要添加更多的功能和优化。例如,你可以添加错误处理机制、支持更多HTTP方法(如POST、PUT等)、优化用户界面等。
262 82
|
28天前
|
人工智能 文件存储 开发者
通过Infortress 端口穿透功能访问内网电脑部署的HTTP服务
在远程办公或跨地域协作中,访问内网HTTP服务是技术工程师的常见需求。借助Infortress的端口穿透功能,无需复杂配置即可实现外网访问。本文以Mac电脑为例,通过Python搭建简单HTTP服务,并使用Infortress完成端口穿透配置。具体步骤包括检查Python版本、启动HTTP服务、安装并配置Infortress客户端、获取代理信息及测试外网访问。同时提醒注意安全性与网络稳定性,确保端口合理设置和及时关闭。Infortress简化了内网穿透流程,适合开发者与IT管理员高效协作。
|
16天前
|
域名解析 网络协议 网络安全
SSL证书验证全攻略:DNS/HTTP/手动解析怎么选?
SSL证书在网络安全中至关重要,1Panel提供三种验证方式:DNS验证、HTTP验证和手动解析。DNS验证便捷,适合CDN网站;HTTP验证快速,需服务器在线;手动解析灵活,但操作复杂。根据需求选择合适确认方式,定期检查证书状态。
203 2
|
3月前
|
安全 网络协议 网络安全
只有IP地址没有域名,如何实现HTTPS访问?
在仅有IP地址而无域名的情况下,实现HTTPS访问并非不可能。主要挑战包括证书颁发机构(CA)对IP地址的支持有限及浏览器兼容性问题。解决方案有:1) 搭建私有CA为内部IP地址颁发证书;2) 使用支持IP地址的公共CA服务。选择合适的方案需根据需求权衡。具体步骤包括选择证书类型、生成CSR文件、提交并完成验证、安装SSL证书和配置强制HTTPS访问。确保IP地址稳定,并定期维护安全性。 **申请优惠**:访问JoySSL官网并填写注册码“230907”可优惠申请IP地址证书。
415 5
|
4月前
探寻HTTP代理IP访问站点失败的背后因素
随着互联网发展,使用HTTP动态代理IP的人越来越多。但有时使用代理后仍无法访问站点,原因包括:1. IP失效;2. 网络质量差;3. 浏览器或程序设置错误;4. 需尝试其他代理商;5. 联系网站管理员;6. 不符合目标站点规范。选择高质量的代理服务商可提升访问成功率。
85 2
|
6月前
|
应用服务中间件 Linux 网络安全
nginx安装部署ssl证书,同时支持http与https方式访问
为了使HTTP服务支持HTTPS访问,需生成并安装SSL证书,并确保Nginx支持SSL模块。首先,在`/usr/local/nginx`目录下生成RSA密钥、证书申请文件及自签名证书。接着,确认Nginx已安装SSL模块,若未安装则重新编译Nginx加入该模块。最后,编辑`nginx.conf`配置文件,启用并配置HTTPS服务器部分,指定证书路径和监听端口(如20000),保存后重启Nginx完成部署。
2265 8
|
7月前
|
安全 网络协议 应用服务中间件
内网ip申请SSL证书实现https访问
内网IP地址虽不能直接申请公网SSL证书,但可通过IP SSL证书保障数据安全。流程包括:确定固定内网IP,选择支持内网IP的CA,注册申请证书,生成CSR,验证IP所有权,下载部署证书至Web服务器,测试HTTPS访问,确保配置正确及证书有效。此方法适用于内网环境,提升数据传输安全性。
内网ip申请SSL证书实现https访问
|
7月前
|
安全 网络安全 数据安全/隐私保护
政务内网实现https访问教程
政务内网实现HTTPS访问需经过多个步骤:了解HTTPS原理,选择并申请适合的SSL证书,配置SSL证书至服务器,设置端口映射与访问控制,测试验证HTTPS访问功能,注意证书安全性和兼容性,定期备份与恢复。这些措施确保了数据传输的安全性,提升了政务服务的效率与安全性。
|
7月前
|
Web App开发 算法 应用服务中间件
nginx开启局域网https访问
【10月更文挑战第22天】为了调试WebRTC功能,需要在局域网内搭建HTTPS协议。具体步骤包括:在已部署Nginx和安装OpenSSL的环境中生成私钥、证书签名请求和自签名证书;将生成的文件放置到Nginx的证书目录并修改Nginx配置文件,最后重启Nginx服务。注意,自签名证书不受第三方机构认可,如需正式使用,需向CA申请签名。
297 2
|
7月前
|
安全 网络安全 数据安全/隐私保护
内网IP地址实现HTTPS加密访问教程
在内网环境中,为确保数据传输的安全性,绑定SSL证书搭建HTTPS服务器至关重要。本文介绍了内网IP地址的前期准备、申请SSL证书的步骤以及客户端配置方法。具体包括选择合适的CA、注册账号、提交申请、下载证书,并在客户端导入根证书,确保通信数据的安全加密。推荐使用JoySSL提供的技术解决方案,确保内网设备通信安全。
内网IP地址实现HTTPS加密访问教程