Domino 9 und frühere Versionen > ND9: Administration & Userprobleme
Active Directory -> Domino Passwort Übertragen per Directory Assistance
Hauerli:
Hallo Zusammen,
Ich beschreibe hier kurz erst einmal was ich plane bzw. ich gerne umsetzen würde um danach auf mein derzeitiges Problem zu kommen.
Wunsch:
Mein Wunsch ist es das wir in Zukunft bei einer Website (DB in Notes mit Weboberfläche) unsere Accountdaten von Windows/AD angeben können.
Hierfür müssen wir jedoch dem Notes Server unsere AD Passwörter mitteilen.
Mein Plan war dies über die Directory Assistance und eine LDAP Verbindung zwischen den zwei Servern zu ermöglichen.
So weit so gut, ohne SSL Verschlüsselung habe ich es auch schon zum laufen gebracht.
Nur leider funktioniert es nicht mit SSL.
Sobald ich im Directory Assistance auf SSL wechsel is die Verification negativ.
Nun denke ich das ich vermutlich die Server Cross-Zertifizieren muss oder zumindest ein entsprechendes Zertifikat einspielen muss, nur leider habe ich diesbezüglich keine leicht verständliche Anleitung gefunden.
Ihr würdet mir sehr helfen, wenn ihr mir hier ein wenig unter die arme greifen könntet und den Nebel lichtet der mein Köpfchen umgibt :)
Danke schonmal !
Grüße,
Max
Pfefferminz-T:
Wenn ihr die Account-Daten auch für Berechtigungen, die Steuerung und Zugriffe verwendet, dann wird das alleine nicht ausreichen. Für Deinen Domino Server ist der AD-User ein anderer User als der Notes-Account. Du musst also erreichen, dass der Domino Server weiß, um welchen Notes-User es sich beim angemeldeten AD-User handelt.
Bzgl. SSL / Verification / Java gibt es mehrere Technotes... Google mal dazu.
stoeps:
Das hängt u.a. von der Version deines Dominos ab. Mit einem der letzten FPs für 9.0.1 kam ein Update, dass es ausreicht das Root Cert vom AD im names.nsf zu importieren. Davor musste es auch in die cacerts im jvm Verzeichnis.
Ausserdem kann es sein, daß auch das AD dem SSL vom Domino vertrauen muss.
--- Zitat von: Pfefferminz-T am 18.01.16 - 18:01:25 ---Wenn ihr die Account-Daten auch für Berechtigungen, die Steuerung und Zugriffe verwendet, dann wird das alleine nicht ausreichen. Für Deinen Domino Server ist der AD-User ein anderer User als der Notes-Account. Du musst also erreichen, dass der Domino Server weiß, um welchen Notes-User es sich beim angemeldeten AD-User handelt.
Bzgl. SSL / Verification / Java gibt es mehrere Technotes... Google mal dazu.
--- Ende Zitat ---
Das kommt darauf an, wie er authentifiziert. Wenn er nur das HTTP Kennwort verwendet und z.B. ltpa benutzt, steht der Domino Name im Token und alles läuft. Wenn SPNEGO o.ä. gewünscht ist, dann müsste man z.B. den DN vom AD ins Fullname des Domino übernehmen, das erspart Anpassungen an der ACL.
Hauerli:
Hi,
Erstmal danke für eure Hilfe !
Ich habe unseren Server gestern auf 9.1 mit FP5 geupdatet, weil ich gelesen habe das man dadurch nicht mehr die CERTSRV.NSF benötigt sondern ein Kyrtool benutzen kann.
So richtig eingearbeitet habe ich mich da noch nicht aber das werde ich heute mal angehen.
--- Zitat ---Wenn ihr die Account-Daten auch für Berechtigungen, die Steuerung und Zugriffe verwendet, dann wird das alleine nicht ausreichen. Für Deinen Domino Server ist der AD-User ein anderer User als der Notes-Account. Du musst also erreichen, dass der Domino Server weiß, um welchen Notes-User es sich beim angemeldeten AD-User handelt.
--- Ende Zitat ---
Ich denke die verification der zwei Acc haben wir schon hinbekommen, da dies schon funktioniert wenn wir die LDAP ohne SSL nutzen.
Ich muss es nur noch hinbekommen das es mit SSL funktioniert.
Die User sind übrigens nur in der Names.nsf angelegte Account ohne ID-File ! Wir benötigen das LDAP eigentlich nur um das PW zu übertragen und somit den Online Login in das Intranet identisch mit dem Windows PW zu halten.
stoeps:
Das sollte kein Problem sein. Das kyrtool hilft dir nur dem Domino ein Zertifikat zu verpassen. Der Trust passiert in der Names und über Crosscertify. Wie gesagt evtl muss das Domino Certificate auch beim AD Server in den Trust.
Navigation
[0] Themen-Index
[#] Nächste Seite
Zur normalen Ansicht wechseln