Esta configuración aplica para Usuarios Web que utilizan sistema operativo Windows y que tienen cuentas en el Directorio Activo. Estas personas también cuentan con un documento de persona en el Domino Directory. Se podrá configurar el User Name Mapping para habilitar el Domino Server para reconciliar nombres de usuarios encontrados en ambos directorios.
El mapeo de User name logra tres objetivos. Primero, cuando el servidor Domino encuentra usuarios Directorio Activo que son iguales a los usuarios en el Domino Directory, permite al servidor para comprobar que los dos nombres de usuario pertenecen a una persona. Para hacer el link de los dos nombres, el servidor verifica el valor del correo del usuario en el Directorio Activo, si es igual al valor en el campo Internet Address en el Documento de Persona.
Segundo, el mapeo de User Name puede ser necesario para determinar el nombre completo de un usuario Lotus Notes. En un entorno de SSO en que algunos servidores no usan el Domino Directory, pero usan solamente el Directorio Activo, por ejemplo, un servidor de IBM WebSphere o IBM Lotus Quickr Server que se configuran para utilizar el Directorio Activo
Debido a que los ACL en bases de datos Domino usualmente se refieren Distinguished Name, se deberá mapear el Distinguished Name del Directorio Activo en el LTPA tokens de los usuarios de Notes de tal forma que el servidor Lotus Domino pueda determinar el nivel de acceso de los usuarios Web a las bases de datos. Este paso no es necesario si el LTPA Tokens se han configurado para contener el Distinguished Name de los Usuarios Notes (por defecto cuando se utilizan la opción Domino SSO) en lugar de claves SSO importados de WebSphere.
Finalmente, el nombre de usuario es mapeado para especificar que directorio va a usar para verificar su usuario y password cuando Windows single sign-on no esta habilitado y los usuarios Web deben iniciar sesión al conectarse a un servidor en el dominio de SSO. Windows single sign-on no está disponible para:
- Clientes Web que se conectarán sobre Internet.
- Clientes Web que se conectarán sobre una Intranet pero no están configurados para Windows single sign-on.
- Clientes Web que se conectarán sobre una Intranet y están configurados para usar Windows single sign-on pero no están firmados en un dominio de Directorio Activo.
- Clientes Web que corran en el servidor Domino Web
Formas de configurar name mapping.
Cómo configurar User Name Mapping depende en si la gestión de usuarios se efectúa en el Directorio Activo o en el Domino Directory. Deberás considerar cual directorio es mas fácil de modificar y mantener.
Configurar User Name mapping cuando se administra usuarios Domino a través del Directorio Activo.
En esta configuración se requiere que adiciones el Notes Distinguished Name de cada usuario en las cuentas del Directorio Activo.
1.- En la base de datos del Directory Assistance, se deberá crear un documento para conectarse con el Directorio, Activo
.
Tab | Campo | Valor | Comentario |
Basics | Make this domain available to | Notes Clients and Internet Authentication/Authorization | Required
|
Basics | Group Authorization | Yes o No |
|
Basics – SSO configuration | Windows single sign-on para Clientes Web | Enabled |
|
Basics – SSO configuration | Kerberos realm | Active Directory domain |
|
Naming Contexts (Rules) | Trusted for Credentials | Yes | — |
LDAP | Atributo que sera usado como Notes Distinguished Name | <attribute> |
cn=Betty Zechman,ou=Marketing,o=Renovations en lugar de cn=Betty Zechman/ou=Marketing/o=Renovations
|
LDAP | Type of search filter to use | Active Directory | — |
- Si los usuarios tienen Person documents en el Domino Directory, se deberán hacer los siguientes cambios.
Tab | Campo | Valor | Comentario |
Basics | Internet Address | Valor usado como atributo de dirección de correo electrónico en el Directorio Activo | Usado para ligar el documento de persona con la cuenta del Directorio Activo del usuario. |
- Especificar la configuración siguiente en el documento del Servidor:
Tab | Campo | Valor | Comentario |
Security – Internet Access | Internet authentication | Fewer name variations with higher security | — |
- Especificar la siguiente configuración para habilitar la autenticación de SSO de los servidores, esta configuración se especifica en el documento Web SSO:
Tab | Campo | Valor | Comentario |
Basics – Token Configuration | Map names in LTPA tokens | Enabled | — |
Sergio, encontre esta liga, interesante para usar el password de Directorio Activo para acceso Web sin necesidad de usar Kerberos.
https://webmail.ki-gruppe.com/www/blogfg.nsf/dx/12.02.2009150442FGOJH3.htm
Espero sirva.
Saludos
Muchas gracias Chava por compartir esta información, este fin de semana probare la configuración, ya que la requiero para un cliente. Te aviso a ver como me fue.
Que tengas excelente fin de semana