Active Directory -> Domino Passwort Übertragen per Directory Assistance

[Hauerli]

Hallo Zusammen,

Ich beschreibe hier kurz erst einmal was ich plane bzw. ich gerne umsetzen würde um danach auf mein derzeitiges Problem zu kommen.

Wunsch:
Mein Wunsch ist es das wir in Zukunft bei einer Website (DB in Notes mit Weboberfläche) unsere Accountdaten von Windows/AD angeben können.
Hierfür müssen wir jedoch dem Notes Server unsere AD Passwörter mitteilen.
Mein Plan war dies über die Directory Assistance und eine LDAP Verbindung zwischen den zwei Servern zu ermöglichen.

So weit so gut, ohne SSL Verschlüsselung habe ich es auch schon zum laufen gebracht.
Nur leider funktioniert es nicht mit SSL.
Sobald ich im Directory Assistance auf SSL wechsel is die Verification negativ.

Nun denke ich das ich vermutlich die Server Cross-Zertifizieren muss oder zumindest ein entsprechendes Zertifikat einspielen muss, nur leider habe ich diesbezüglich keine leicht verständliche Anleitung gefunden.

Ihr würdet mir sehr helfen, wenn ihr mir hier ein wenig unter die arme greifen könntet und den Nebel lichtet der mein Köpfchen umgibt

Danke schonmal !

Grüße,
Max

[Pfefferminz-T]

Wenn ihr die Account-Daten auch für Berechtigungen, die Steuerung und Zugriffe verwendet, dann wird das alleine nicht ausreichen. Für Deinen Domino Server ist der AD-User ein anderer User als der Notes-Account. Du musst also erreichen, dass der Domino Server weiß, um welchen Notes-User es sich beim angemeldeten AD-User handelt.

Bzgl. SSL / Verification / Java gibt es mehrere Technotes... Google mal dazu.

[stoeps]

Das hängt u.a. von der Version deines Dominos ab. Mit einem der letzten FPs für 9.0.1 kam ein Update, dass es ausreicht das Root Cert vom AD im names.nsf zu importieren. Davor musste es auch in die cacerts im jvm Verzeichnis.

Ausserdem kann es sein, daß auch das AD dem SSL vom Domino vertrauen muss.

Wenn ihr die Account-Daten auch für Berechtigungen, die Steuerung und Zugriffe verwendet, dann wird das alleine nicht ausreichen. Für Deinen Domino Server ist der AD-User ein anderer User als der Notes-Account. Du musst also erreichen, dass der Domino Server weiß, um welchen Notes-User es sich beim angemeldeten AD-User handelt.

Bzgl. SSL / Verification / Java gibt es mehrere Technotes... Google mal dazu.

Das kommt darauf an, wie er authentifiziert. Wenn er nur das HTTP Kennwort verwendet und z.B. ltpa benutzt, steht der Domino Name im Token und alles läuft. Wenn SPNEGO o.ä. gewünscht ist, dann müsste man z.B. den DN vom AD ins Fullname des Domino übernehmen, das erspart Anpassungen an der ACL.

[Hauerli]

Hi,

Erstmal danke für eure Hilfe !

Ich habe unseren Server gestern auf 9.1 mit FP5 geupdatet, weil ich gelesen habe das man dadurch nicht mehr die CERTSRV.NSF benötigt sondern ein Kyrtool benutzen kann.
So richtig eingearbeitet habe ich mich da noch nicht aber das werde ich heute mal angehen.

Wenn ihr die Account-Daten auch für Berechtigungen, die Steuerung und Zugriffe verwendet, dann wird das alleine nicht ausreichen. Für Deinen Domino Server ist der AD-User ein anderer User als der Notes-Account. Du musst also erreichen, dass der Domino Server weiß, um welchen Notes-User es sich beim angemeldeten AD-User handelt.

Ich denke die verification der zwei Acc haben wir schon hinbekommen, da dies schon funktioniert wenn wir die LDAP ohne SSL nutzen.
Ich muss es nur noch hinbekommen das es mit SSL funktioniert.

Die User sind übrigens nur in der Names.nsf angelegte Account ohne ID-File ! Wir benötigen das LDAP eigentlich nur um das PW zu übertragen und somit den Online Login in das Intranet identisch mit dem Windows PW zu halten.

[stoeps]

Das sollte kein Problem sein. Das kyrtool hilft dir nur dem Domino ein Zertifikat zu verpassen. Der Trust passiert in der Names und über Crosscertify. Wie gesagt evtl muss das Domino Certificate auch beim AD Server in den Trust.

[Hauerli]

Hi ,

Noch eine grundlegende Frage .

Wenn ich das Zertifikat in die Server einspiele, brauche ich hierfür ein 3rd Party Zertifikat oder kann man so etwas bei den Servern ausspielen und dann in den anderen einfügen ?

Benötige ich das 3rd Party Zertifikat nur wegen dem Weblogin, damit die User die Seite normal angezeigt bekommen ?

Entschuldigung aber ich bin bei den Basics noch etwas verwirrtt

[Hauerli]

Hi ,

Ich bin mit meinem Latein am ende und mir fehlt das nötige Fachwissen.

Gibt es eine Möglichkeit einen Profi von euch zu beauftragen damit ihr per Teamviewer die Zertifizierung zwischen den zwei Servern einrichten kann ?

[StefanHK]

Wir stehen auch vor dem Problem, dass wir einen Weblogin an Notes-Datenbanken mit dem AD-User/Kennwort möchten.

Hat o. g. Lösung jemand zum Laufen gebracht? Gibt es dafür eine Anleitung, zumindest für das, was hauerli schon gemacht hat?

Und ist es die beste/einfachste Lösung um einen Weblogin im Browser mit dem AD-User / -Kennwort an Notes-Datenbanken zu ermöglichen?

[Pavel]

Hallo,

wie wäre es mit SingleSignOn?
Dies erspart dem Nutzer sich viele Passwörter zu merken bzw. die Passwörter immer wieder einzugeben und die Anmeldung über den Browser spart man sich auch für die Notes DB's.
Ein paar Infos zum Thema hier:

https://www.ibm.com/support/knowledgecenter/SSKTMJ_8.5.3/com.ibm.help.domino.admin85.doc/H_PREPARING_ACTIVE_DIRECTORY_FOR_SPNEGO_KERBEROS_AUTHENTICATION_STEPS.html

https://www.ibm.com/support/knowledgecenter/SSKTMJ_8.5.3/com.ibm.help.domino.admin85.doc/H_ESTABLISH_AN_SPN_IN_ACTIVE_DIRECTORY_FOR_THE_DOMINO_SERVER_STEPS.html

Gruß
René

PS: Wir tragen über einen Agent in das User-Dokument in das Feld LTPA-Benutzername noch den AD Nutzernamen, da wir keine AD Integration nutzen.

[stoeps]

Wir stehen auch vor dem Problem, dass wir einen Weblogin an Notes-Datenbanken mit dem AD-User/Kennwort möchten.

Hat o. g. Lösung jemand zum Laufen gebracht? Gibt es dafür eine Anleitung, zumindest für das, was hauerli schon gemacht hat?

Und ist es die beste/einfachste Lösung um einen Weblogin im Browser mit dem AD-User / -Kennwort an Notes-Datenbanken zu ermöglichen?

Hallo Stefan

ja ich habe das mehrfach umgesetzt, Anleitung kann ich dir keine bieten, wir können aber gern mal darüber sprechen da man doch einige Dinge und Abhängigkeit bei der Konfiguration beachten muss.

Schick mir doch ne PM bei Interesse.