Domino系统与AD的集成
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Domino系统与AD的集成
-------探讨Domino与AD的集成解决方案
一、需求
统一账户管理,实现只需要维护一套账户,其他系统实现“零账户”。
二、现状
<1> 多套系统上线,造成多套帐号维护
<2> 帐号维护不能实现统一维护、更新不及时,维护工作量大
<3> 使用者需要记住多套帐号密码、及修改时,需要分别登录多套系统维护,造成使用习惯非常不便
三、Tobe
<1> 无论是SOA、还是SSO的统一帐号解决方案,工作量都非常大,投入非常多,才能达到满足需求
<2> 因此客户更偏向于选择OA系统与AD的整合,实现小范围的整合
<3> AD整合,实现Domino“零用户”(除了管理员外)
<4> 集中维护与管理,减少维护工作量,解决登录多次问题
重要意义:
其实在写这篇文章之前,已经有不少的用户来咨询过相关的问题和实现方法,我觉得可以完全理解用户的需求和对于IT技术架构统一的设想。
一方面我们推荐正在使用 Domino 邮件和应用系统的用户可以积极地利用 Domino 目录可以发布为 LDAP 目录的技术特性,通过扩展和修改相应的 Schema 和属性条目,来实现企业的统一用户目录;同时我们也支持用户在以其他产品建立了统一的 LDAP 目录的条件下,利用对外部目录的集成配置,在Domino 应用系统和邮件系统中实现用户认证、授权和邮件路由。
从而实现所谓 Domino 系统中“零用户(除管理员外)”的概念。
这种实现对于完善企业的安全架构,特别是实现企业范围内的统一身份管理,统一认证管理,和多应用系统的单一登录(SSO)具有重要的基础意义,从而可以大大简化身份管理中多目录同步、修改过程中的种种复杂的技术实现过程。
四、解决方案
1)使用Domino的ldap替换原有的AD
适合:原有AD应用比较少,初上或是没有计划上的客户
2)通过da.nsf直接使用AD账户
适合:AD域已经应用非常广,而且必须保证AD能够不当机运行
缺点:AD当机后,Domino账户无法登录
成功案例:深圳稳健、顺德锡山
3)同时双方维护Domio、AD账户,使用Domino自带的ADsync工具同步
适合:AD服务器不稳定、客户对AD服务器稳定性保持怀疑的时候,同时维护两套
系统,使用Domino自带的ADsync工具同步
4)应用JA V A技术,在Domino上通过java代理,实现定时、实时更新AD的用户、密码等信息,起到维护帐号同步方式
适合:对系统要求非常高,系统同步需要做到实时,自动化,期望维护工作量少的企业
缺点:目前在我们的项目还没有成功案例,存在开发要求非常高、工作量大
关于前面三种解决方案,在附件里有详细的实现描述,在此不再详述了,现详细跟大家探讨下第四种方案的可行性
为何提出第四种解决方案?
缘由:
满足东莞徐福记的需求:
关键用户提出:
1. Domino的Names.nsf(通讯录)用户初始化信息取AD域的用户名,密码,手动触发;
2. 在OERP修改密码,同时更新AD的密码
3. 在OERP的信息定时更新AD信息(帐号,密码,域属性,是否为OA帐号的属性);
4. AD的组权限在AD更改,OERP不提供更改权限的功能;
5. 在OERP提供创建AD跟Domino帐号的界面,创建Domino帐号的同时,在AD 域也要增加域帐号;
实现的思路:
1)Domino自带的ADsync工具,要求它是满足不了的
2)从Domino入手不好解决问题,那么就换个思路吧
3)大家知道Domino是支持Java的(至少从Domino6.0后,支持的比较好了),那么就从Java入手
4)上网搜了一下,发现不少Java集成AD的范例,而且有详细的说明和程序代码(可供参考,在附件里整理一部分,可以参考)
5)我这里再说明一点,Java要与AD集成,AD服务器必须安装有CA服务,还要有一个计算机证书文件。
这方面的问题,我也只是知道这些,其它,请熟悉AD或者CA的同志能详细解释一下。
6)假设所有的软、硬环境都已经齐备了。
从网上当下java程序,然后在Domino服务器上新建测试数据库,咱们就命名adsync.nsf
7)adsync.nsf中新建java代理,将java程序并入java代理中
8)Java要与AD集成需要JDK1.4以上版本,这样的话Domino6.5可就不行了,需要Domino7.0以上版本(还好Domino7.0的已经发布了而且集成了JDK1.4)
9)需要Domino7.0以上版本(还好Domino7.0的已经发布了而且集成了JDK1.4)
10)用java的工具keytool导入验证文件,
具体方法:
Java_home\bin\keytool -import -keystore dominoad.keystore -file yourcaroot.cer
Java_home\bin\keytool -import -keystore dominoad.keystore -alias mkey -file yourcomputer.cer
然后将dominoad.keystore拷贝至Domino根目录下.下一步,修改Domino的jvm里的java.policy文件,在grant下添加下面两行:
permission java.util.PropertyPermission &#。