Hilfe zu IBM Domino Social Edition Administrator 9.0.1

SICHERHEIT

Zuordnung von Benutzernamen konfigurieren, wenn Sie Domino-Benutzer mit dem Domino-Verzeichnis verwalten
Führen Sie die Schritte in diesem Thema aus, um die Zuordnung von Benutzernamen in einer Umgebung mit einmaliger Anmeldung unter Windows™ zu konfigurieren, wenn Sie die IBM® Domino-Benutzerinformationen primär anhand des Domino-Verzeichnisses verwalten. Mit einem Verzeichnissynchronisierungswerkzeug wie IBM Tivoli Directory Integrator können Sie Domino mit den erforderlichen Active Directory-Informationen auffüllen.

Warum und wann dieser Vorgang ausgeführt wird

Wenn Sie eine separate IBM Anwendung zum Verwalten des Internetzugriffs auf Domino verwenden, beispielsweise den IBM Tivoli Access Manager WebSEAL-Reverse-Proxy oder das IBM WebSphere DataPower-Sicherheitsgateway, kann die Anwendung so eingerichtet werden, dass sie die Internetbenutzer anhand des Active Directory-Datensatzes des Benutzers anstelle des Domino-Personendokuments authentifiziert. In diesem Fall gilt Folgendes:

Die Angabe eines Kennworts im Feld "Internetkennwort" (HTTP Password) im Domino-Personendokument ist für Schritt 1 optional. Weder die einmalige Anmeldung von Windows für Web-Clients noch die von der IBM Anwendung verwaltete Internet-Authentifizierung verwendet dieses Feld.
Wenn die IBM Anwendung den LTPA-Token immer im Namen des Benutzers erstellt, sind die Angaben im Feld LTPA-Benutzernamen in Schritt 1 und 2 optional.

Prozedur

1. Nehmen Sie im Domino-Verzeichnis in den Personendokumenten der teilnehmenden Webbenutzer die folgenden Bearbeitungen vor.

Tabelle 1. Bearbeitungen von Personendokumenten für Webbenutzer

Register	Feld	Wert	Kommentar
Allgemein	Benutzername (FullName)	Zweiteiliger Active Directory-Anmeldename	Geben Sie den Anmeldenamen an, der in der Benutzeroberfläche des Active Directory-Kontos des Benutzers angezeigt wird. Geben Sie den Namen als dritten oder weiteren Namen in dieses Feld ein. Beim Vornamen muss die Groß-/Kleinschreibung beachtet werden, wie sie in Active Directory verwendet wird. Verwenden Sie Großbuchstaben für den zweiten Teil des Namens, unabhängig von der in Active Directory angezeigten Groß-/Kleinschreibung. Beispiel: bzechman@AD1.SUBNET2.RENOVATIONS.COM Kann auch optional dem Feld krbPrincipalName einen Namen hinzufügen. Wird zum Verknüpfen dieses Personendokuments mit der Active Directory-Kerberos-Identität verwendet.
Allgemein	Benutzername (FullName)	Eindeutiger Name des Benutzers in Active Directory	Nur erforderlich, wenn ein IBM WebSphere-SSO-Server die Benutzer anhand von Active Directory authentifiziert, sodass die LTPA-Token der Benutzer ihre Active Directory-Namen enthalten. Fügen Sie diesen Namen nach den anderen Namen ein, die bereits im Feld vorhanden sind. Verwenden Sie genau dieselbe Groß-/Kleinschreibung, die in Active Directory verwendet wird. Verwenden Sie im Active Directory-Namen den in IBM Notes als Trennzeichen verwendeten Schrägstrich (/) anstelle des in LDAP als Trennzeichen verwendeten Kommas (,). Beispiel: `uid=bzechman/ou=marketing/dc=renovations/dc=com` anstelle von `uid=bzechman,ou=marketing,dc=renovations,dc=com` Wird verwendet, um eindeutige Active Directory-Namen in SSO-LTPA-Token eindeutigen Notes-Namen zuzuordnen, um den Benutzerzugriff auf Domino-Ressourcen festzulegen.
Allgemein	Internetkennwort (HTTPPassword)	Kennwort-Hashwert	Wenn Domino die Verzeichnisverwaltung zum Herstellen einer Verbindung mit dem Active Directory-Server verwendet, muss sich dieses Benutzerkennwort von dem Benutzerkennwort in Active Directory unterscheiden. Ermöglicht Domino das Verifizieren von Benutzerkennwörtern im Domino-Verzeichnis, wenn die einmalige Anmeldung unter Windows nicht verfügbar ist.
Administration (Abschnitt "Client-Informationen")	Active Directory-Anmeldename (Kerberos) (krbPrincipalName)	Zweiteiliger Active Directory-Anmeldename	Für dieses Feld optional. Geben Sie den Anmeldenamen an, der in der Benutzeroberfläche des Active Directory-Kontos des Benutzers angezeigt wird. In der ersten Zeile dieser Tabelle finden Sie weitere Informationen zu diesem Namen. Wenn in diesem Feld angegeben, fügen Sie der `NOTES.INI`-Datei des Servers die folgende Einstellung hinzu, um dafür zu sorgen, dass der Wert in diesem Feld des Domino-Verzeichnisses oder in einem sekundären Verzeichnis, auf das über die Verzeichnisverwaltung zugegriffen wird, gefunden wird: `WIDE_SEARCH_FOR_KERBEROS_NAMES=1` Wenn angegeben, wird ein Volltextindex für das Domino-Verzeichnis erstellt, um Suchvorgänge für dieses Feld zu optimieren.
Administration (Abschnitt "Client-Informationen")	LTPA-Benutzername	Eindeutiger Name des Benutzers in Active Directory	Nur erforderlich, wenn ein IBM WebSphere-SSO-Server die Benutzer anhand von Active Directory authentifiziert, sodass die LTPA-Token der Benutzer ihre Active Directory-Namen enthalten. Wird verwendet, um eindeutige Active Directory-Namen in SSO-LTPA-Token eindeutigen Notes-Namen zuzuordnen, um den Benutzerzugriff auf Domino-Ressourcen festzulegen.

2. Wenn einige SSO-Server Benutzer anhand von Active Directory authentifizieren, geben Sie die folgende Einstellung im Web-SSO-Konfigurationsdokument an:

Tabelle 2. Web-SSO-Konfigurationseinstellungen

Register	Feld	Wert	Kommentar
Allgemein - Token-Konfiguration	Namen in LTPA-Token zuordnen	Aktiviert	Gewährleistet ordnungsgemäße SSO-Vorgänge für Server, die Benutzer anhand von Active Directory authentifizieren.

Zugehörige Konzepte
Zuordnung von Benutzernamen in einer Umgebung mit einmaliger Anmeldung von Windows für Web-Clients konfigurieren

Zugehörige Tasks
Web-SSO-Konfigurationsdokumente erstellen
Einmalige Anmeldung von Windows für Web-Clients einrichten

Zugehörige Informationen
Fehlersuche bei der einmaligen Anmeldung von Windows für Web-Clients (SPNEGO)

Feedback zur Hilfe oder Benutzerfreundlichkeit des Produkts?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe

Feedback zur Hilfe oder Benutzerfreundlichkeit?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe