首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

邮件服务器

技术前沿 | Qmail | IMail | MDaemon | Exchange | Domino | 其它 | Foxmail | James | Kerio | JavaMail | WinMail | Sendmail | Postfix | Winwebmail | Merak | CMailServer | 邮件与开发 | 金笛 |
首页 > 邮件服务器 > Lotus Domino > 使用 ADSync 集成 IBM Lotus Domino Directory 和 Microsoft Active Directory > 正文

使用 ADSync 集成 IBM Lotus Domino Directory 和 Microsoft Active Directory

出处:IBM 作者:Tony Patton (aspatton@bellsouth.net), 顾问 时间:2007-7-27 2:00:42

具有多个目录平台的企业 IT 环境非常常见,而 IBM Lotus Domino Directory 和 Microsoft Active Directory 就是这种情况下的流行选择。本文阐述了一种方法,以利用 Lotus Domino Active Directory Synchronization 工具(ADSync)使这两个目录方便地进行通信。

在大多数组织中,处理异构系统是一个常见主题,但在维护企业目录时,不同的系统可能会成为问题。常见的场景包括公司 IT 基础设施中的 Microsoft Active Directory 和 IBM Lotus Domino。通常 Lotus Domino 用于企业消息传递,而 Active Directory 处理网络用户。为了简化系统管理,从单独一个点来同时维护两个目录是很便利的。IBM 认识到了这种需求,并包含了 Lotus Domino Active Directory Synchronization 工具或简称为 ADSync(首次出现在 Lotus Domino V6 中)。该工具可以运行在 Microsoft Windows 2000 及之后版本上。

ADSync 允许管理员来保持 Domino Directory 和 Active Directory 用户和组的同步。管理员可以注册、同步属性和密码,而且在 Active Directory 中对用户和组执行重命名和删除操作时,还会在 Domino Directory 中执行同样的操作,反之亦然。其特性包括两个目录之间的容器映射和属性映射,以及注册用户时所使用的策略。它的设置和用法很简单,但是仍存在需要考虑的问题。

本文中使用了以下产品:

  • Microsoft Windows Server 2003
  • Lotus Domino V7.0.1
  • Lotus Domino Administrator V7.0.1

安装和设置

ADSync 作为安装选项包含在 IBM Lotus Domino Administrator 客户机中。默认情况下将不安装 ADSync,但可以将它用作可选程序文件之一,因此必须在安装过程中选中它(参见图 1)。在 IBM Lotus Notes 安装向导的 Custom Setup 窗口中,选择 Domino Administrator 选项以及 Domino Directory W2000 Sync Services 子选项。


图 1. 在 Domino Administrator 客户机的安装过程选择 ADSync 选项
在 Domino Administrator 客户机的安装过程选择 ADSync 选项

进行安装之后,ADSync 由一个 DLL 文件(nadsync.dll)和一个 help 文件(adsynch.chm)组成。在 Windows 平台上安装 ADSync 时,必须使用以下代码完成安装:

Regsvr32 nadsync.dll

这将 ADSync 注册为 Microsoft Management Console(MMC)管理单元,可以在 Active Directory Users and Computers 工具中使用。另一个安装问题涉及到为 Lotus Domino 管理员和 Active Directory 管理员建立适当的安全性。

建立安全性

使用 ADSync 时的关键问题是安全性。Active Directory 管理员需要对适当的 Domino Directory 进行管理访问,同时 Domino 管理员需要适当的 Active Directory 访问。Active Directory 管理员需要具有经过正确认证的 Notes ID 以及必要的访问权限,这样才能使用 Domino Directory。另外,必须为所有 Domino 认证器(在其中创建用户)创建策略。同样,Domino 管理员在 Active Directory 中必须拥有必要的权利以便执行所有功能,例如添加用户和组。IBM 推荐将认证器 ID 文件(cert.id)从 Domino 服务器复制到 Domino Administrator 数据目录。

最后的安装步骤涉及初始化 Active Directory Users and Computers 工具中的 ADSync 工具。为此,双击 Domino Directory synchronization 对象来启动该过程(参见图 2)。提示输入管理员密码(Domino 服务器数据目录中的 admin.id)之后将要求提供 Domino 服务器。将出现对话框来确认安装成功。


图 2. 初始化 ADSync 工具
初始化 ADSync 工具

Lotus ADSync Options 对话框

完成初始化后,Lotus ADSync Options 对话框将打开。(若要在初始化之后访问该窗口,可双击图 2 中的 Domino Directory synchronization 选项。)Lotus ADSync Options 对话框包含以下四个附签:

  • Notes Synchronization Options。可以使用该附签来启用或禁用所有同步选项,还可选择性地启用/禁用选项。另外,可以指定何时显示提示(for all operations、deletions only 或 no operations)以及是否选择使用 Certificate Authority 进行认证(参见图 3)。


    图 3. Notes Synchronization Options 附签
    Notes Synchronization Options 附签


  • Notes Settings。在该附签上,可以标识用于所有操作的 Domino 服务器,或是用于个别操作(例如注册、同步和删除)的特定服务器。另外,可以指定 Domino 设置,包括管理 ID、删除用户期间所发生的事情、默认的认证器名称以及 Domino 组的策略(参见图 4)。


    图 4. Notes Settings 附签
    Notes Settings 附签


  • Field Mappings。使用该附签将 Active Directory 字段映射到 Domino Directory 字段。选择一行(Active Directory 字段),然后选择 Domino 字段来映射该行(参见图 5)。


    图 5. Field Mappings 附签
    Field Mappings 附签


  • Container Mappings。使用该附签将 Active Directory 容器映射到特定的 Domino 认证器和/或策略(参见图 6)。默认情况下,在设置过程中所选择的认证器和策略将用于所有操作。


    图 6. Container Mappings 附签
    Container Mappings 附签


在 Lotus ADSync Options 对话框的所有附签中都有 Help 按钮可用。它提供了一般 MMC 帮助和特定于 ADSync 的主题的帮助。通过右击 Domino Directory synchronization 可以方便地启用或禁用同步,还可访问 options 窗口和 Help 窗口,如图 7 所示,也可以选择通过使用 Action 菜单来实现上述操作。


图 7. 启用 Domino Directory synchronization
启用 Domino Directory synchronization

正确配置了这些选项后,即为同步 Active Directory 和 Domino Directory 之间的用户做好了准备。下面先从 Domino Administrator 客户机开始。







使用 Domino Administrator 客户机

ADSync 向 Register Person 对话框添加了 Advanced 选项(参见图 8)。选中该选项后,将通过 Register Person 对话框的 Other 附签中的 Windows User 按钮提供对 Active Directory 选项的访问。


图 8. Lotus Domino 中的 Register Person 对话框
Lotus Domino 中的 Register Person 对话框

图 9 展示了单击 Windows User Options 按钮后打开的窗口。在这里可以指定是否创建相应的 Active Directory 用户、使用哪一个 Active Directory 以及下面的 Active Directory 选项:完整名称、登录名称和组。


图 9. 新 Domino 用户的 Active Directory 选项
新 Domino 用户的 Active Directory 选项

该过程的 Lotus Domino 方面以用户维护结束。下一步,在 Active Directory 中进行操作。






使用 Active Directory

通过选择 Administrative Tools - Active Directory Users and Computers,即可在 Windows 中使用 Administrative Tools 的 Active Directory Users and Computers 工具。对 ADSync 进行初始化和设置后,在添加 Active Directory 对象(人或组)时,Domino Directory 成为一个选项。New Object 对话框包括 “Register in Domino Directory” 选项;选择该选项,从而使用字段中输入的信息在 Lotus Domino 中创建新对象。

另外,右击 Active Directory 中的对象并选择适当的选项,可以添加或同步 Lotus Domino 中的现有用户。当为现有 Active Directory 用户选择 Register in Domino 选项时,将打开图 10 所示的对话框。可以使用默认值完成用户注册,而无需提示或提供每一个所选用户的名称和密码。其中一个选项用于选择发生错误时是否稍后尝试进行注册。指定这些选项后,可以选择立即注册、稍后注册或中止此过程。


图 10. 用于 Windows 用户和组的 Registration 选项
用于 Windows 用户和组的 Registration 选项

除了对单独用户进行操作之外,还可以从 Active Directory 中创建组。为此,选择从组列表进行注册或同步,按照用户同步进程进行操作。在 Active Directory 中创建组时,还可以选择在 Lotus Domino 中创建该组,如图 11 所示。在 New Object - Group 对话框中,输入组名称,然后选择组类型并添加描述。


图 11. 在 Active Directory 中创建 Domino Directory 组
在 Active Directory 中创建 Domino Directory 组

新创建的组将出现在 Lotus Domino 中,如图 12 所示。Group name、Group type 和 Description 字段的内容是在 New Object 对话框中输入的内容。请注意,对于新组来说,没有任何特征表明它是使用 Active Directory 创建的。


图 12. 由 Active Directory 和 ADSync 创建的 Domino 组
由 Active Directory 和 ADSync 创建的 Domino 组

可以发现,使用 ADSync 工具是非常简单的,但是和使用任何工具一样,当在 Lotus Domino 或 Active Directory 上使用 ADSync 时,您必须考虑某些注意事项。






ADSync 注意事项

使用 ADSync 时比较棘手的问题之一就是:要全面了解哪一方可执行哪些操作;即哪些操作可由 Active Directory 执行,哪些操作可由 Domino Administrator 客户机执行。但是,如果使用表 1 中的信息,上述内容是比较容易理解的。表中的第一列包含任务,后面两列指明任务是否在其原始平台上进行操作。


表 1. 从 Active Directory 和 Lotus Domino 发起的 ADSync 操作
操作从 Active Directory 平台从 Lotus Domino 平台
注册用户可以可以
重命名在 Active Directory 中创建的用户只能重命名 Active Directory 用户只能重命名 Active Directory 用户
重命名在 Lotus Domino 中创建的用户可以可以
同步用户数据可以不可以
删除用户可以可以
创建组可以不可以
重命名组可以不可以
同步组数据使用 Active Directory 中所定义的成员关系来重写 Domino Directory Members 字段不可以
删除组不可以可以


快速浏览上表,您会发现可以从任一方创建并删除用户,但是用户的注册将取决于创建用户的位置。在 Active Directory 中可以很轻松地实现用户数据在系统间的同步,而在 Lotus Domino 上却不可以。最后,组创建只是一个 Active Directory 任务。因此在您的环境中使用 ADSync 时需要熟悉该表。另一个问题涉及密码处理。

一致的密码

使用 Active Directory Users and Computers 工具的 Synchronize with Domino 按钮可以实现 ADSync 的密码同步。通过按下 Ctrl + Alt + Del 而发起的密码更改不会触发同步。若要同步 Active Directory 和 Notes HTTP 的密码,应在 Active Directory Users and Computers 工具中高亮显示用户,然后单击 Synchronize with Domino。

利用 Lotus Notes 客户机安装过程中的单点登录(single sign-on,SSO)功能(参见图 13),可以获得一种保持用户密码同步的更好方法。安装 Lotus Notes 时,选择 Client Single Logon Feature 子选项来启用 SSO 。

这一功能使用户仅登录一次,即可使用 Lotus Notes 和操作系统。这对于用户来说是有利的,因为只出现了一种身份验证机制,但是需要处理由客户机安装和配置所引起的更多管理性琐事。


图 13. 在 Lotus Notes 安装过程中安装 SSO
在 Lotus Notes 安装过程中安装 SSO




编程

有关 ADSync 使用的一个常见问题就是应对编程支持:使用脚本创建 Domino 用户时可以使用 ADSync 吗?答案很简单:不可以。ADSync 是 MMC 管理单元,旨在简化系统管理员的工作。但是,它没有提供任何编程选项可简化用户或组的创建和/或同步的操作。

在创建 Active Directory 用户时或之后,可以使用 ADSync 来注册 Domino 用户,反之亦然。至少,在 Lotus Notes 中可以创建 Active Directory 用户,但是没有通过任何(采用 C、Java 或 LotusScript 编写的)可用 API 向开发人员公开该能力。您可能认为通过 Microsoft .NET 平台可以实现 Active Directory 交互,但是它并没有提供对 ADSync 功能的支持。您必须使用 Active Directory 或 Domino Directory 接口来使用 ADSync 功能。







结束语

任何系统管理员都会告诉您,管理企业用户和组是一个耗时的过程。当企业使用多个完全异构系统时,问题会更加严重。使用单一接口来处理管理性琐事(例如创建、删除以及配置用户和组)是比较便利的。通过简化使 Active Directory 和 Domino Directory 用户和组保持同步的过程,ADSync 解决了这个问题。但是,ADSync 过程中的两个方面都存在一些事项需要注意,因此在使用该工具时应做好准备,以确保得到的结果符合您的期望。



参考资料

学习

获得产品和技术

讨论


关于作者

Tony Patton 是居住在美国肯塔基州路易斯维尔的一名顾问。他的工作涉及多种技术,包括 Lotus Notes/Domino、Java 技术和 Microsoft .NET。他写了两本关于 Lotus Notes/Domino 开发的书:Practical LotusScriptDomino Development with Java,他还负责撰写 CNet.com 关于 .NETWeb 开发 技术的每周专栏。您可以通过 aspatton@bellsouth.net 联系 Tony。

相关文章 热门文章
  • 实现微软AD与Domino OA系统的互连互用
  • IBM Lotus Domino iCalendar邮件地址解析栈溢出漏洞
  • 现有 IBM Lotus Domino/Notes 邮件模板简介
  • 在 Lotus Notes 中设置邮件定时发送的方法及代理功能介绍
  • IBM Lotus Domino 8.5 服务器管理入门手册
  • IBM Lotus Domino LDAP请求远程堆溢出漏洞
  • IBM Lotus Domino readme.nsf页面远程跨站脚本漏洞
  • IBM Lotus Notes远程栈溢出漏洞
  • 深信服新推出IBM LOTUS网络加速方案
  • 基于Lotus Domino的OA系统中安全机制的研究
  • Lotus Domino HTTP server 漏洞
  • Lotus Domino 8.5 ID Vault 新功能介绍及体验
  • Domino管理员29个问题
  • Lotus Domino/Notes如何有效防止垃圾邮件
  • 配置Domino服务器
  • Lotus Notes常见问题答疑
  • Lotus Notes安装和使用的常见问题
  • Lotus Notes 的最终用户最需知道的十件事
  • 如何提高Domino服务器性能
  • LOTUS NOTES .INI文件参数设置秘籍
  • Domino 做Internet企业邮局的配置
  • Domino SMTP邮件服务器设置实例
  • 基于Linux平台的Domino Server安装与配置
  • 如何配制Domino for IIS?
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号