Das Notes Forum
Domino 9 und frühere Versionen => ND6: Administration & Userprobleme => Thema gestartet von: guerilla am 28.10.05 - 14:50:21
-
Wahrscheinlich hab ich nur irgendwo eine Kleinigkeit übersehen:
Ich habe eine Verbindung zu einem externen AD via LDAP in der DA aufgebaut.
Ich benutze ein Feld, dass nur einen shortname enthält als NotesDN (soll so sein).
Funktioniert alles ganz gut, ABER:
Die User sollen sich mit entsprechendem Shortname auch einloggen können. Derzeit sieht das so aus:
Name: "CN=User Name,OU=Abteilung,DC=domain1,DC=domain2"
als Loginnname, das ist allerdings umständlich. Wenn ich mich mit diesem User auslogge, kann ich mich (wg. Usercache) auch mit dem Shortname und PW anmelden.
Nebenbei: Die Userverwaltung soll ausschließlich im AD stattfinden, keine Notes-Personendocumente und am AD-Schema darf nichts geändert werden. (lustig, oder?)
Ich hoffe verzweifeltst auf Hilfe
Chris
-
1) "User Name/Abteilung/Organisation" Sollte als Username auch gehen
2) Probier mal im Serverdokument, Karteireiter "Security" die "Internet authentication" auf "More name variations with lower security" setzten. Dann sollte er auch den Shortname akzeptieren.
-
1. Ist lt. Anforderungen zu umständlich. Der User darf nicht überlegen müssen... ;-)
2. Probier ich mal aus, bezweifel aber, dass das für AD auch gilt... Die Authenzifizierung findet ja via AD statt...
-
zu 2): Es geht nicht. :(
-
Schau Dir mal das Thema "Controlling the level of authentication for Internet clients" in der Admin-Onlinehilfe an. Ich denke, das wird Dir weiterhelfen.
-
Hallo,
wir haben das selbe Problem, ab es funktioniert.
Du legst also ein neues DA Dokument an
Auf dem Reiter Basic:
Domain Type: LDAP
Domain name: frei wählbar
Company name: frei wählbar
Search order: 1
Make this domain available to: Notes Clients.....
Group Authorisation: Yes
Nasted...: yes
Enabled: yes
Auf dem Reiter Naming....:
Erste Zeile: Trusted for Credentials: yes
Auf dem dritten Reiter LDAP:
Hostname: Name des LDAP Hosts
Unter Authentication: Einen User angeben der Rechte in der AD hat um es abzufragen.
BaseDN for search: OU=...;DC=... usw. je nach AD Schema
Type of search filter to use: Custom
Unter Customized Filter:
Authentcation Filter:(&(objectclass=user)(cn=%*))
Authorization Filter: (&(objectclass=group)(Member=%*)(cn=......*)
Unter CN=......* mußt Du eine OU benennen. Notes kann nur eine OU für die Gruppenauflösung auflösen. Darunter müssen sich direkt die Gruppen befinden.
Versuch mal, bei uns geht es
Gruß
Frank
-
Und wie kann bzw. muss man sich bei euch am LDAP anmelden? Mit dem kompletten DN oder einem Shortname?
Wenn das per Shortname geht: Wie habt ihr das gemacht?
-
Du musst dich via LDAP genauso anmelden wie per Web/HTTP. Versuch mal den vollen Namen, z.B. "Max Muster" und das Internetpasswort (Festzulegen im Personendokument).
Die Einstellung, dass auch der Kurzname funzt findest du im Serverdokument unter "Internet authentication:"
matze
-
Hi matze!
Es ist ja nicht so, dass ich nicht die ganzen Tipps ausprobiert habe, Problem ist nur, dass diese ganzen Tipps, so wertvoll sie auch sind, leider nicht funktionieren. :(
Und wie im OP steht, gibt es keine Personendokumente im Server-NAB, über die authentifiziert werden kann.
Trotzdem danke für deine (bzw. eure) bisherige Hilfe.
-
Hast Du am Domino-Serverr den NOTES.INI-Eintrag WEBAUTH_Verbose_TRACE=1 eingetragen? Man erkennt dann auf der Serverkonsole was er an den LDAP-Server übertragt und auch zurückbekommt. Ist zur Eingrenzung der Problematik sehr sinnvoll.
Was zeigt der Domino-Server dann an?
Servus
Wolfgang