Hilfe zu IBM Domino Social Edition Administrator 9.0.1

SICHERHEIT

Zuordnung von Benutzernamen konfigurieren, wenn Sie Domino-Benutzer mit Active Directory verwalten
Anhand der Schritte in diesem Abschnitt können Sie die Zuordnung von Benutzernamen für eine Umgebung mit einmaliger Anmeldung unter Windows™ konfigurieren, wenn Sie die IBM® Domino-Benutzerinformationen primär mit Active Directory verwalten. Für diese Konfiguration ist es erforderlich, dass Sie die eindeutigen IBM Notes-Namen der Benutzer zu den Active Directory-Benutzerkonten hinzufügen.

Prozedur

1. Erstellen Sie in einer Verzeichnisverwaltungsdatenbank ein LDAP-Verzeichnisverwaltungsdokument, anhand dessen Sie eine Verbindung zum Active Directory-Server herstellen können.

Tabelle 1. Wichtige Felder in einem LDAP-Verzeichnisverwaltungsdokument

Register	Feld	Wert	Kommentar
Basics	Make this domain available to	Notes clients and Internet Authentication/Authorization	Erforderlich LDAP-Clients sind optional
Basics	Group Authorization	"Yes" oder "No"	Wählen Sie Yes aus, wenn Sie Active Directory-Gruppen in Datenbank-ACLs verwenden möchten.
Basics	Attribute to be used as name in an SSO token	$DN	Nur erforderlich, wenn ein IBM WebSphere-SSO-Server die Benutzer anhand von Active Directory authentifiziert, sodass die LTPA-Token der Benutzer ihre Active Directory-Namen enthalten. Dafür muss Map names in LTPA token im Web-SSO-Konfigurationsdokument aktiviert sein. Gewährleistet ordnungsgemäße SSO-Vorgänge für Server, die Benutzer anhand von Active Directory authentifizieren.
Basics - SSO Configuration	Windows single sign-on for Web clients	Enabled	Ermöglicht effiziente Namenssuchen auf Basis der Active Directory-Anmeldenamen (Kerberos) der Benutzer. In Kombination mit Attribute to be used as Notes Distinguished Name ist es möglich, dem Domino-Namen die Kerberos-Identität des Benutzers zuzuordnen.
Basics - SSO Configuration	Kerberos realm	Active Directory-Domäne	Angabe in Großbuchstaben, z. B. AD.RENOVATIONS.COM
Naming Contexts (Rules)	Trusted for Credentials	Yes
LDAP	Attribute to be used as Notes Distinguished Name	Attribut	Attribut in Active Directory, in dem die eindeutigen Notes-Namen der Benutzer gespeichert werden. Ein Verzeichnisadministrator muss möglicherweise das Active Directory-Schema erweitern, um ein Attribut für diesen Namen hinzuzufügen, falls kein Attribut vorhanden ist, das den eindeutigen Notes-Namen bereits enthält. Alternativ dazu kann das Attribut `altSecurityIdentities` verwendet werden, falls es nicht bereits zu anderen Zwecken verwendet wird. Mit einem Verzeichnissynchronisierungswerkzeug, beispielsweise IBM Tivoli Directory Integrator, können Sie das Attribut mit den Notes-Namen füllen. Der gespeicherte Wert des Attributs muss der gültigen Syntax für eindeutige Namen entsprechen. Verwenden Sie in Active Directory bei Notes-Namen das in LDAP als Trennzeichen verwendete Komma (,) anstelle des in Notes als Trennzeichen verwendeten Schrägstrichs (/), beispielsweise: `cn=Betty Zechman,ou=Marketing,o=Renovations` anstelle von `cn=Betty Zechman/ou=Marketing/o=Renovations` Wird verwendet, um diesen Active Directory-Datensatz mit einem eindeutigen Notes-Namen zu verknüpfen, um den Benutzerzugriff auf Domino-Ressourcen festzulegen.
LDAP	Type of search filter to use	Active Directory

2. Wenn Benutzer über Personendokumente im Domino-Verzeichnis verfügen, nehmen Sie an diesen die folgenden Änderungen vor. Personendokumente sind optional für Webbenutzer, die keine IBM iNotes-Benutzer sind.

Tabelle 2. In Personendokumenten erforderliche Bearbeitungen

Register

Feld

Wert

Kommentar

Allgemein

Internetkennwort

(HTTPPassword)

Kein (empfohlen)

Oder

Kennwort-Hashwert

Entfernen Sie bei Bedarf das Kennwort zur Verwendung der Active Directory-Kennwörtern des Benutzers für Internetzugriffe, die eine Verifizierung des Benutzerkennworts verlangen.
Wenn das Kennwort entfernt wurde, konfigurieren Sie den Verzeichniszugriff so, dass die Benutzer selbst keine Kennwörter hinzufügen können.
Wurde das Kennwort entfernt, überprüft Domino die Benutzerkennwörter in Active Directory, wenn die einmalige Anmeldung von Windows nicht verfügbar ist.

3. Wenn Benutzer über Domino-Personendokumente verfügen, ihre Domino-Internetkennwörter jedoch nicht darin enthalten sind, deaktivieren Sie die folgenden Internetkennworteinstellungen im Dokument mit den effektiven Richtlinien für Sicherheitseinstellungen der Benutzer:

Tabelle 3. Zu deaktivierende Einstellungen im Dokument mit den effektiven Richtlinien für Sicherheitseinstellungen der Benutzer

Register	Feld	Wert	Kommentar
Kennwortverwaltung - Allgemein	Benutzer dürfen das Internetkennwort über HTTP ändern	Nein	Die Standardeinstellung ist "Ja". Wenn für Benutzer kein Einstellungsdokument für Sicherheitsrichtlinien angegeben ist, erstellen Sie eines, um das Standardverhalten zu ändern.
Kennwortverwaltung - Allgemein	Internetkennwort bei Änderung des Notes-Client-Kennworts aktualisieren	Nein
Kennwortverwaltung - Allgemein	Ablauf des Kennworts erzwingen	Deaktiviert oder "Nur Notes"

4. Wählen Sie im Register Sicherheit -> Internetzugriff der Serverdokumente von teilnehmenden Domino-Servern für Internet-Authentifizierung die Einstellung Weniger Namensvariationen mit höherer Sicherheit aus.

5. Wenn einige SSO-Server Benutzer anhand von Active Directory authentifizieren, geben Sie die folgende Einstellung im Web-SSO-Konfigurationsdokument an:

Tabelle 4. Web-SSO-Konfigurationseinstellungen

Register	Feld	Wert	Kommentar
Allgemein - Token-Konfiguration	Namen in LTPA-Token zuordnen	Aktiviert	Wird verwendet, um eindeutige Active Directory-Namen in SSO-LTPA-Token eindeutigen Notes-Namen zuzuordnen, um den Benutzerzugriff auf Domino-Ressourcen festzulegen. Wird verwendet, um das Funktionieren von SSO auf Servern sicherzustellen, die den Benutzer anhand von Active Directory authentifizieren.

Zugehörige Konzepte
Zuordnung von Benutzernamen in einer Umgebung mit einmaliger Anmeldung von Windows für Web-Clients konfigurieren
Zugriffsebenen in der ACL

Zugehörige Tasks
Verzeichnisverwaltungsdokument für ein Remote-LDAP-Verzeichnis erstellen
Einstellungsdokument für Sicherheitsrichtlinien
Web-SSO-Konfigurationsdokumente erstellen

Zugehörige Informationen
Fehlersuche bei der einmaligen Anmeldung von Windows für Web-Clients (SPNEGO)

Feedback zur Hilfe oder Benutzerfreundlichkeit des Produkts?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe

Feedback zur Hilfe oder Benutzerfreundlichkeit?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe