User Mapping Active Directory - Domino Directory klappt nicht

[Tomz]

Hallo Leute,

ich beiße mir gerade die Zähne an der Web-Authentifikation über Active Directory (LDAP) ab.

Was klappt, dass ich mich mit einem Test-User über das AD anmelden kann. Habe dazu ein Directory Assistance Eintrag für LDAP gebaut usw.

Das Problem ist nun, dass der User aus dem Active Directory nicht zu einen Domino Directory User mappt. Ich bin da gerade ratlos was ich noch vergessen haben könnte.

1. der Benutzer im AD heißt genau wie der Benutzer im DD (Lehrling)
2. im Personendokument habe ich das Feld "Active Directory-Anmeldename (Kerberos)" unter "Administration" --> "Client Informationen" entsprechend befüllt, also "lehrling@UNTERNEHMEN.DE"



Kann mir jemand einen Tipp geben was ich noch machen muss?

[edit: ich hab mal noch ein verbose Log der Authentification angehangen]

[Tomz]

Hat damit niemand Erfahrung? Uuaaaaaah  verdammt, mir brennt´s tierisch unter den Nägeln

Ist ja eigentlich nicht nur ein Domino 9 Thema.

[schurl85]

sollte alles hier drinnen stehen:

http://atnotes.de/index.php/topic,57698.0.html

[Driri]

Ich kenne mich mit LDAP nicht aus, wir haben aber ein ähnliches Konstrukt für das SSO mit unserem WebSphere Portal bauen müssen. Dafür war es notwendig, in den Personendokumenten einen zusätzlichen Alias im UserName zu hinterlegen, weil das Portal einen Benutzernamen in anderer Schreibweise liefert, als Domino den erkennen würde.


Bei uns sieht der eingehende Username z.B. so aus:

uid=<Shortname des Users>/ou=<OU>/ou=<OU>/o=<Organization>

Der Shortname ist bei uns nach dem Schema <7 Buchstaben vom Nachnamen>+<1. Buchstabe vom Vornamen>.


Ich deute das im angehängten Log so, daß bei Dir als Benutzername folgender Wert ankommt: CN=lehrling/DC=domain/DC=local
Dieser Wert wird sehr wahrscheinlich nicht im Personendokument hinterlegt sein und somit kann er den User nicht auflösen.

[Tomz]

Ich deute das im angehängten Log so, daß bei Dir als Benutzername folgender Wert ankommt: CN=lehrling/DC=domain/DC=local
Dieser Wert wird sehr wahrscheinlich nicht im Personendokument hinterlegt sein und somit kann er den User nicht auflösen.

Hi Ingo, das ist genau mein rettender Hinweis!!!!!!

Ich habe diesen Wert zwar schon im Personendokument im Feld "LTPA-Benutzername" hinterlegt aber nur wie er im AD drin steht und nicht wie der Domino das liest. Ich habe die Schrägstriche schlicht und ergreifend vergessen

Mit / funktioniert´s jetzt wunderbar. Ich danke dir wie verrückt - juhu!!

[Driri]

Gerne, schau dir aber auch noch mal den von Georg verlinkten Thread an. Ich kann da inhaltlich nichts zu sagen, aber evtl. gibt es da noch eine bessere Methode, als überall Aliase einzupflegen.

[Tomz]

Den Link habe ich mir angeschaut. Ich muss aber sagen, dass ich an SPNEGO z.B. überhaupt nicht vorbei gekommen bin.

Die Authentifikation funktioniert wunderbar jetzt übers AD. Das Schöne ist, dass der Benutzer sich nicht direkt am AD authentifiziert, sondern die Arbeit von einem Reverse-Proxy erledigt wird. Mit dem Proxy kann ich auch den Benutzerkreis wunderbar kontrollieren und kann über einen esoterischen Port auf den Traveler zugreifen.