SICHERHEIT

Zuordnung von Benutzernamen in einer Umgebung mit einmaliger Anmeldung von Windows für Web-Clients konfigurieren
Webbenutzer, die an der einmalige Anmeldung von Windows™ für Web-Clients teilnehmen, verfügen über Konten in Active Directory. Sie verfügen normalerweise auch über Personendokumente im Domino-Verzeichnis. Anhand der Zuordnung von Benutzernamen können IBM® Domino-Server die in beiden Verzeichnissen gefundenen Benutzernamen abgleichen.

Die Zuordnung von Benutzernamen dient drei Zielen. Erstens: Wenn ein Domino-Server den eindeutigen LDAP-Namen eines Benutzers in Active Directory sowie dessen eindeutigen IBM Notes-Namen im Domino-Verzeichnis findet, kann der Server überprüfen, ob die beiden Namen zu demselben Benutzer gehören. Zum Verknüpfen der beiden Namen stellt der Server sicher, dass der Wert des mail-Attributs des Benutzers im Active Directory-Benutzerkonto dem Wert der Internetadresse im Personendokument entspricht.

Zweitens: Die Namenszuordnung ist möglicherweise erforderlich, um den eindeutigen Notes-Namen eines Benutzers zu ermitteln. In einer SSO-Umgebung, in der einige Server nicht das Domino-Verzeichnis, sondern Active Directory exklusiv verwenden, enthält der LTPA-Token des Benutzers den eindeutigen Active Directory-Namen des Benutzers. Beispielsweise kann ein IBM WebSphere Application Server-Server oder ein IBM Lotus Quickr-Server so konfiguriert sein, dass er Active Directory als Benutzer-Repository verwendet. In dieser Umgebung enthalten LTPA-Token üblicherweise die eindeutigen Active Directory-Namen der Webbenutzer. Weil sich ACLs auf Domino-Datenbanken normalerweise auf die eindeutigen Notes-Namen der Webbenutzer beziehen, müssen Sie die eindeutigen Active Directory-Namen in den LTPA-Token den eindeutigen Notes-Namen zuordnen, sodass ein Domino-Server den Zugriff von Webbenutzern auf seine Datenbanken festlegen kann. Dieser Schritt ist nicht erforderlich, wenn LTPA-Token so konfiguriert wurden, dass sie nicht die von WebSphere importierten SSO-Schlüssel, sondern die eindeutigen Notes-Namen der Benutzer enthalten (die Vorgabe, wenn Domino-SSO-Schlüssel verwendet werden).

Drittens: Die Zuordnung von Benutzernamen gibt an, welches Verzeichnis zum Verifizieren der Benutzerkennwörter verwendet werden soll, wenn die einmalige Anmeldung von Windows nicht verfügbar ist und sich Webbenutzer beim Verbindungsaufbau mit einem Server in der SSO-Domäne anmelden müssen. Die einmalige Anmeldung von Windows steht in folgenden Fällen nicht zur Verfügung:


Konfigurationsmöglichkeiten für die Namenszuordnung

Wie Sie die Zuordnung der Benutzernamen konfigurieren, hängt davon ab, ob Sie die Benutzer primär über Active Directory oder über das Domino-Verzeichnis verwalten. Sie sollten sich im Klaren darüber sein, welches Verzeichnis einfacher für Sie zu bearbeiten und zu verwalten ist. Sie können zudem die Änderungen am Verzeichnis minimieren, wenn Sie eine separate Authentifizierungsanwendung von IBM zum Authentifizieren der Internet-Benutzer verwenden.

Zugehörige Konzepte
Zugriffsebenen in der ACL

Zugehörige Tasks
Zuordnung von Benutzernamen konfigurieren, wenn Sie Domino-Benutzer mit dem Domino-Verzeichnis verwalten
Zuordnung von Benutzernamen konfigurieren, wenn Sie Domino-Benutzer mit Active Directory verwalten
Einmalige Anmeldung von Windows für Web-Clients einrichten

Zugehörige Informationen
Fehlersuche bei der einmaligen Anmeldung von Windows für Web-Clients (SPNEGO)