Итак, около 3 месяцев назад я "унаследовал" установку Lotus Domino, и, честно говоря, это беспорядок. Исторически сложилось так, что в течение 10 лет основное внимание уделялось развитию, а не управлению и ведению хозяйства (ничего из последнего на самом деле не было сделано, у меня были парни, которые покинули это место 11 лет назад, все еще в группах администраторов), с предсказуемым концом результат.
Теперь я знаю, как убрать беспорядок, но пока я это делаю, я также слежу за будущим, и кое-что, что мне интересно исследовать, - это возможность интеграции с Active Directory. Для меня не имеет смысла - в 2009 году - иметь еще одну группу систем, требующих еще одного имени пользователя и пароля, приглашающих людей по пути синдрома желтых записок (не говоря уже об удвоении нашего управления пользователями / паролями накладные расходы).
Поскольку клиенты представляют собой смесь на основе браузера и традиционного клиента, мне интересно, насколько это практично. Кто-нибудь делал, и насколько хорошо работает? Получаем ли мы полностью прозрачную аутентификацию, не требуя даже повторного ввода сетевых учетных данных, неужели нам все еще нужно дурачиться с файлами идентификаторов (gack), можем ли мы добавлять пользователей AD в группы Domino и тому подобное.
Сервер - 8.0.2 (на 2003 Server), клиенты в основном 8.0.1 и IE6, приложения базы данных, но не Почта Notes используется. То немногое, что я видел об IBM, так это невероятно расплывчато по всей теме.
11 лет .... Хотя я не знаю ваших целей SSO, я бы сказал, что пришло время для новой установки на новый / виртуальный сервер и перенести все, а затем создать пользователей, которые вам нужны (или если вы узнаете о SSO, настроив его).
Эта текущая настройка звучит так, как будто она покрыта проблемами безопасности.
Лично у меня нет опыта интеграции Domino / AD, но я долго думал об этом и надеюсь попробовать реализовать это в этом году. Я точно знаю, что у IBM есть служба, созданная для синхронизации информации о пользователях / группах Domino и AD в обоих направлениях, и что есть компания под названием PistolStar, которая, по-видимому, специализируется в этой области.
Я бы определенно сначала начал с службы интеграции IBM и посмотрел, к чему это приведет. Собственно, я и сегодня собираюсь это проверить.
http://www.ibm.com/developerworks/lotus/library/domino-adsync/index.html
С 2009 года IBM Lotus Domino поставляется с лицензией на IBM Tivoli Directory Integrator.
Итак, вы можете сделать что-то подобное здесь:
- Синхронизация пользователей между Microsoft Active Directory Server и IBM Domino Server с помощью Tivoli Directory Integrator
- Интеграция IBM Lotus Domino с использованием IBM Tivoli Directory Integrator