Lotus Domino Administrator 7 說明 - 配置 SSO LTPA 記號的使用者名稱對映

安全性

配置 SSO LTPA 記號的使用者名稱對映
為了認證單一登入的使用者而建立的 LTPA 記號，包括已認證使用者的名稱。當 Domino 建立 LTPA 記號時，依預設會將 Domino 階層式名稱置於記號中。如果 Websphere 伺服器會從嘗試存取伺服器的使用者取得該記號，則該 Websphere 伺服器必須要能夠辨識此名稱格式。如果無法辨識，就會忽略該記號，單一登入也會失敗，而且會提示使用者再次登入。

這種情況通常發生在下列的一般使用者配置：多個目錄會由 SSO 中不同的伺服器使用，而且讓一個使用者擁有多個身份。例如，有位使用者在 Websphere LDAP 目錄中可能會辨識為 "uid=jdoe,cn=sales,dc=acme, dc=com"，但相同的使用者在 Domino 名錄中是 "John P Doe/Sales/Acme"。如果 Websphere 收到 LTPA 記號，而其中包含的使用者名稱類似 "John P Doe/Sales/Acme"，就會嘗試在 Websphere 目錄中尋找這個使用者，並在無法找到時，拒絕該記號。

Domino 管理者現在可將 Domino 所建立之 LTPA 記號上出現的使用者名稱，跟 WebSphere 預期的名稱對應，以確保可在 Domino 及 Websphere 未共用相同目錄的 Domino 與 Websphere 混何環境下辨識該名稱。

附註在混合版本的 Domino 環境下，只有當記號是由 Domino 7.0 伺服器所產生時，LTPA 記號中的使用者名稱對映才有效。如果在 Domino 7 以前版本中，也會新增 LTPA 記號中使用的使用者名稱值，作為「個人」記錄之完整名稱欄位的次要值 (例如，作為別名使用)，使用者也將能夠存取 Domino 6.02 及更高版本的伺服器與 Websphere 伺服器上的資料庫。

如何指定 LTPA 記號中使用的使用者名稱，依據單一登入環境中使用的目錄配置而定：

如果 Notes 使用者資訊僅包含在「Domino 名錄」中，您可以在「人員」文件中指定使用者名稱對映。
如果 Notes 使用者資訊包含在企業 LDAP 目錄中，您可以在「名錄輔助」中配置使用者名稱對映。
如果組織同時使用 Domino 與 LDAP 目錄，您可以配置 Domino 記錄及名錄輔助 SSO 資訊。

因為 LDAP 目錄欄位及 Domino 目錄欄位通常沒有一對一對應，所以使用名稱對映的「名錄輔助」文件容許 LDAP 管理員指定應使用哪個 LDAP 欄位，作為「LTPA 使用者名稱」欄位的相等欄位。

附註如果未啟動 SSO 配置文件中的對映功能，「名錄輔助」文件中的任何名稱對映文件將會被忽略。

配置 Domino 名錄環境中的使用者名稱對應

在此環境中，Domino SSO 使用者在 Domino 名錄中會有「個人」記錄。

1. 啟用 LTPA 資料欄位的名稱對映。在定義 SSO 環境的「Web SSO 配置」文件中，為「LTPA 資料欄位中的對映名稱」選項選取「啟用」。

2. 在使用者「人員」文件中，按一下「管理」。在「用戶端資訊」下方的「LTPA 使用者名稱」欄位中，輸入 WebSphere 預期的使用者名稱 DN。這通常是使用者的 LDAP 辨別名稱 (DN)。請確定以斜線分隔名稱元件。

比方說，如果 LDAP DN 為

uid=jdoe,cn=sales,dc=acme, dc=com

請輸入下列的值：

uid=jdoe/cn=sales/dc=acme/dc=com

雖然名稱是以 Domino 格式輸入 LTPA 使用者名稱欄位，但在將此名稱放入 Domino 建立的 LTPA 記號之前，Domino 會將配置的 LTPA 使用者名稱轉換成 Websphere 預期的適當 LDAP 格式。

附註

必須在此欄位中輸入唯一的值，也就是說，在組織中不應該有其他相符的人員。

在共同的 LDAP 名錄環境中配置使用者名稱對應 (Domino 及 LDAP 混合的名錄環境)

在此環境中，會有部份或全部的 Domino SSO 使用者在 Domino 名錄中沒有「個人」記錄。這些 Domino 使用者的記錄將位於 Domino 可透過「名錄輔助」存取的外部 LDAP 名錄中。

1. 啟用 LTPA 資料欄位的名稱對映。在定義 SSO 環境的「Web SSO 配置」文件中，為「LTPA 資料欄位中的對映名稱」選項選取「啟用」。

2. 開啟「LDAP 目錄」的「名錄輔助」文件。在「SSO 配置」區段中，輸入應作為 SSO 記號中之名稱的 LDAP 屬性，此 SSO 記號是為了此使用者而建立。當要求 LTPA_UserNm 欄位時，此屬性將會使用在 LTPA 資料欄位。請務必確定所選取的欄位包含了 WebSphere 預期的使用者名稱。適用於此欄位的選項包括：

所有適當的 LDAP 屬性，只要它唯一地識別使用者。
使用 LDAP 識別名稱的 $DN 值。這是最常見的配置，代表使用者的 LDAP DN 是 WebSphere 預期的名稱，而不是任意 LDAP 欄位中的名稱。
如果已知的話，保留空白預設值給 Domino 識別名稱。否則，預設值將為 LDAP 識別名稱。

如果已配置「名錄輔助」，使「Domino 名錄」及 LDAP 名錄中的搜尋能夠找到相符的特定使用者，Domino 在 Domino「個人」記錄及 LDAP 記錄之間就必須要有一

致性。Domino 會採取額外步驟，以判定位於兩個目錄中的網際網路郵件位址有相符的值。為執行此動作，DA 會搜尋使用者的 LDAP "mail" 屬性。此值必須和 Domino「個人」記錄欄位 "internetaddress" 中的資訊相符。

LDAP 名錄中的屬性 Domino 名錄中的屬性

mail:Jbond@secret.spies.com internetaddress:Jbond@secret.spies.com

您必須確定 Domino 屬性 'Internet address' 會跟 LDAP 屬性 'mail' 的值相符，才能順利進行 SSO。

其他考量

若要支援別名，請在「人員」文件中，將 LDAP 名稱新增到 LTPA_UserNm 欄位及「使用者名稱」(亦即文件屬性「完整名稱」) 欄位中，作為次要值。

若需別名解除參照的相關資訊，請參閱在遠端 LDAP 目錄的名錄輔助文件內設定別名解除參照。

因為用於取得 SSO 記號的 Notes 用戶端通訊協定 (NRPC) 無法與「網際網路站台」搭配使用，如果配置 Sametime 伺服器以使用「網際網路站台」，則無法支援與 Sametime 整合的 Notes 用戶端 (以及搭配 Sametime 使用的 SSO)。
當使用者資訊儲存在壓縮的目錄型錄中時，無法支援 LTPA 記號中的名稱對應。

另請參閱

Web 使用者之多重伺服器以階段作業為基礎的名稱及密碼認證 (單次登入)

設定名錄輔助

名詞解釋

意見說明？

說明的說明

開啟完整的說明視窗

名詞解釋

意見說明？

說明的說明

開啟完整的說明視窗

LDAP 名錄中的屬性	Domino 名錄中的屬性
mail:Jbond@secret.spies.com	internetaddress:Jbond@secret.spies.com