Authentifzierung via Windows-Login

[Don Pasquale]

Hallo Leute,

es gibt in Lotus die Möglichkeit dem User die Anmeldung an Lotus zu ersparen, Lotus übernimmt einfach die Information aus dem Windows-Login.

Ich habe eine eigene ( nicht Lotus ) Anwendung die aus LDAP den Anwendernamen und sein Password ausliest.

Das Problem : In LDAP steht nur der volle Name / Langname
beim Windowslogin wird ein Kurzname verwendet.
Wo kann ich diesen Kurznamen und den entsprechenden Langnamen auslesen (finden)

Ciao

Don Pasquale

[Meff]

Hi Don,

wo willst Du Dich den Authentifizieren? Im Web oder mittels Deines Notesclients? Der Notesclient hat so ein nettes kleines Feature, mit welchem Du das machen kannst.

Meff

[Don Pasquale]

@Meff

Das ist eine Webanwendung.

Aber Du kannst mir mal von dem Lotus Feature erzählen.


Ciao

Don Pasquale

[Don Pasquale]

Hallo Leute,

weiss den wirklich keiner über dieses Thema bescheid ?

Ciao

Don Pasquale

[Meff]

Verzeih mir, hatte das Ding irgendwie übersehen. Du kannst im Notesclient bei der Installation mit angeben, dass Du für den Client ein Single Sign On nutzen möchtest. Wenn das Ding installiert ist, musst Du kein Passwort im Notes mehr angeben, wenn Du das Ding startest.

Ab Release 6 gibt es das ganze auch für den Server, da hst Du dann die Möglichkeit, Deine Anwender mit dem Active Directory abzugleichen.

Meff

[Don Pasquale]

@Meff

Vielen Dank für die Antwort,

Du kannst im Notesclient bei der Installation mit angeben, dass Du für den Client ein Single Sign On nutzen möchtest. Wenn das Ding installiert ist, musst Du kein Passwort im Notes mehr angeben, wenn Du das Ding startest.

Ja, genau. Das wusste ich bereits und ich würde gerne wissen wie Lotus das macht, schliesslich müssen der Windowsanmeldename und die Lotusanmeldeinformation nicht übereinstimmen.

Ich habe beim Kunden die Konstellation, dass die sich an Windows mit dem Login "PC12" anmelden und an Lotus mit ihrem Klarnamen.
In der Userinformation in Lotus ist dieses "PC12" aber nirgends zu finden. Wo speichert Lotus dieses Information ? Dann könnte ich Sie mittels LDAP ja auslesen, oder ?

Ab Release 6 gibt es das ganze auch für den Server, da hst Du dann die Möglichkeit, Deine Anwender mit dem Active Directory abzugleichen.

Magst Du mir da erklären was hier der Unterschied ist ?


Gruß und vielen Dank

Ciao

Don Pasquale

[Meff]

Hi Don,

zu Punkt 1 muss ich auch erst nachlesen. Kommt später (wenn ich was befriedigendes finde).
Zu Punkt 2:

Du kannst mit dem Tool Dein komplettes Domino Directory pflegen, d.h. Du musst nicht mehr sowohl die Active Directory pflegen UND das Domino Directory. Die Userdaten werden zwischen diesen beiden automatisch ausgetauscht. Du kannst z.B. einen User im Netz (Active Directory) anlegen und anschliessend das ganze mit Deinem Domino Directory abgleichen.

Meff

P.S.: Anbei ein Link auf ein Redbook von IBM zu dem Thema Active Directory Sync:

http://publib-b.boulder.ibm.com/Redbooks.nsf/9445fa5b416f6e32852569ae006bb65f/acf874ebcd60b4d485256bdb00692104?OpenDocument

[MartinG]

hi meff,

hast du das ganze auch im einsatz (sync zwischen ad und dominodirectory?)  -  ich werde vermutlich bald auf notes6 wechseln und mit ad kenne ich mich denke ich ganz gut aus. administrativ ist natürlich so ein abgleich genial - ich habe halt bei solchen dingen immer ein wenig die befürchtung das man sich da an einer anderen stelle irgendein problem einfangen kann?

[Meff]

Ich habe mit dem Ding mal ne Zeitlang rumgespielt, aber nie Produktiv genommen. Auf der einen Seite habe ich dieselben Bedenken wie Du, andererseits ist das ein geniales Tool, wenn Du eine zentralisierte Benutzerverwaltung realisieren willst und das sollte eigentlich unser aller Ziel sein. Doppelte Arbeit bedeutet häufig auch doppelte Fehlerquellen.

Meff

P.S.: Wenn ich erhlich bin, kenne ich niemanden, der sowas nutzt.

[MartinG]

Okay - dann lasse ich auf jeden Fall die Finger davon...
In solchen Dingen bin ich teilweise ein gebranntes Kind und natürlich sind solche Dinge wie Single-Point-of-Administration schöne Worte.

In der Praxis siehts dann IMHO aber oft anders aus. Das Tool hat sicherlich div. Vorteile. Die Risiken dabei sind aber auch sehr gross: zum Einen gibt man die Unahängigkeit der beiden Systeme ein Stück weit damit auf, d.h. ein Fehler im AD kann im Extremfall das AD zerstören und das Dominoverzeichnis oder sehr viel wahrscheinlicher in beiden Dingen auslösen mit seltsamen Effekten wo sehr schwer nachvollziehbar sind. Wenn es nur eine reine Kennwortsynchronisation wäre dann würde ich mich gerne drauf einlassen...

Wenn ich nur an vielen Adminkollegen denke welche immer noch NT4 bleiben weil Sie einfach Muffe haben vor einer Win2k Migration haben weil Ihre aufwendige und komplexe Exchangeinstallation davon betroffen ist. Da pflefe ich glaube lieber ein Systeme mehr...

[Meff]

Ich kann Dir trotzdem nur empfehlen mal das Redbook zu lesen, vielleicht nimmt Dir das ein wenig die Scheu und wenn Du ein Testsystem hast, auf welchem Du sowas ausführlich testen kannst --> Mach es...

Meff

[Don Pasquale]

Hallo Leute,

ich habe eine Webanwendung bei der sich die Leute
(leider) anmelden müssen.
Die Benutzer bemängeln, dass sie sich ja auch in Lotus nicht anmelden müssen, sondern Lotus die Windows Login Information nutzt.
Jetzt frage ich mich, wie macht Lotus das ? In den Benutzerinformationen in der LotusAdministration finde ich kein Windows User Name.

Weiß da jemand drüber BEscheid ?


Ciao

Don Pasquale

[HipSlu]

Ich bin mir nicht sicher, ob Dir auch folgendes weiterhelfen könnte (wenn du es nicht sowieso schon weisst):

man kann auch auf einem nt-server anstatt dem domino http den iis verwenden und somit ebenfalls ntlm authentifizierung verwenden

[MartinG]

... und dabei sämtliche löcher des iis in die schöne notesumgebung reinbringen. ..