轉載自: http://www.ibm.com/developerworks/cn/lotus/domino-msad/index.html 在日常工作當中,很多人都會提出這樣的問題: 我們使用的電子郵件系統一般都會配有個人通訊錄(或地址本),發送電子郵件時可以從聯繫人列表當中進行選擇而不必費心記憶每位位聯繫人的郵件地址。但對於不在個人通訊錄當中的聯繫人,如何在擁有正確權限的情況下簡單快捷的獲取郵件地址等信息呢? 企業內部一般都會存在基於不同平臺和技術之上建立起來的異構應用程序,如郵件、論壇、信息發佈、在線學習等不同的應用,用戶如何通過唯一的用戶信息和密碼在這些異構應用之間進行訪問呢? 在 企業應用環境當中,對人員等信息進行集中管理並提供統一接口進行查詢是很重要的,不同的信息系統之間需要進行統一的目錄信息查找和認證。在這種情況下,使用輕量級目錄訪問協議(Lightweight Directory Access Protocol,LDAP)是一種很好的選擇。作爲一種輕量級的、開放、可擴展的互聯網協議,輕量級目錄訪問協議提供目錄信息的集中存儲和管理,以供電 子郵件及其他各種應用系統進行目錄信息維護和查找。目錄服務器當中不僅保存基本的聯繫人等信息,還可以根據需要進行各種擴充,但用戶、組以及認證信息是此 類目錄服務的核心內容。目錄服務器爲各種應用程序提供了集中且單一的目錄信息訪問方式,並且爲用戶使用單一密碼在多種應用程序之間實現單點登陸提供了基 礎。 輕量級目錄訪問協議並沒有對服務器和客戶端的實現方法、信息存儲方式以及程序的具體工作機制進行定義和限 制,它只規定了客戶端和服務器以及不同的服務器之間以何種標準進行通信。這種通信的標準可以表達諸如“查找銷售部門所有名字叫 Tom 的人,告訴我他的郵件地址、辦公電話和業務專長”等信息。基於輕量級目錄訪問協議(LDAP)這一標準實現的目錄服務器與客戶端之間可以通過該協議進行通 信,但由於具體實現方式不同,並且每種服務器在實現時又都添加了自己的附加擴展功能,因而導致不同的輕量級目錄服務器之間並不是簡單的替換關係,而需要根 據實際情況進行遷移和集成,以保證依賴於目錄服務的各種系統能夠正常運行。Microsoft Active Directory 和 IBM Lotus Domino Directory 就是很常用的兩種輕量級目錄訪問服務器。
Microsoft Active Directory 是輕量級目錄訪問協議 (LDAP) 服務器的一種實現,被集成在 Windows 服務器當中,是一種被廣泛使用的目錄環境。 Active Directory 在實現 LDAP 協議的基礎上提供了很多擴展,與 Windows 操作系統集成緊密,爲 Exchange 服務器和 Windows 文件共享、打印共享等很多應用程序提供目錄服務。在 Windows 服務器安裝完畢之後,管理員需要對 Active Directory 進行單獨安裝才能夠使其啓動。以 Windows 2003 服務器爲例,從開始菜單的運行對話框中輸入: 
Lotus Notes 從第一個版本開始就將地址本 (Name and Address Book) 作爲一種目錄服務,Lotus Notes/Domino 從 4.6 版本開始支持 LDAP 第二版 (LDAP V2),從 5.0 版本開始支持 LDAP 第三版 (LDAP V3)。LDAP 服務作爲 Domino 服務器上的一個任務根據需要可以有選擇性的啓動執行。Domino 目錄服務同樣在 LDAP 協議的基礎之上提供了強大的可擴展性,Notes/Domino 平臺之上的郵件、辦公自動化等系統以及其他各類應用系統都可以基於 Domino 目錄服務進行目錄信息的維護和查詢。 在對 Domino 服務器進行配置時,可以選擇是否將 LDAP 服務作爲默認服務啓動 ( 參考圖 2),當 Domino 服務器啓動之後,可以使用 
在 一個企業或者組織當中,由於歷史原因擁有多個企業目錄平臺是很常見的,而如何讓多種目錄服務相互協作或同步、儘量減少管理員的維護工作量、降低用戶使用當 中的複雜度,對企業信息系統而言非常重要。IBM Lotus Domino Directoory 和 Microsoft Active Directory 作爲常用的兩種目錄服務器產品經常同時出現在企業應用環境當中。很多公司在 Active Directory 的目錄服務基礎之上建立了文件共享以及很多其他基於 Microsoft Windows 的應用程序,而後又引入了 IBM Lotus Dmino 作爲企業郵件、信息協作和辦公自動化的平臺。如何將這兩種企業目錄集成、如何進行取捨,要根據現有系統的具體情況和企業未來發展需求進行確定。以下是三種 常見的從 Active Directory 到 Domino Directory 的遷移與集成方法,每種方法都適合不同的企業環境。 如果依賴於原有 Active Directory 服務器的應用不是很多,或者應用程序完全基於 LDAP 標準而不依賴於某種具體的目錄服務器,那麼可以考慮將原有 Active Directory 目錄服務器當中的用戶和組等信息完全遷移到 Domino 目錄服務器當中。IBM Lotus Domino Directory 通過 Lotus Domino Administrator 管理工具支持對 LDAP 的遷移。 打開 Lotus Domino Administrator 客戶端,連接到 Domino 服務器,選擇 Users and Groups 頁面,在右側的 Tools 欄中選擇 People >Register, 進入 Register Person 對話框(參考圖 3)。  點擊 Migrate People 按鈕,進入 People and Groups Migration 對話框,對於外部目錄源選項的配置可以有兩種選擇:一種是從 Foreign directory source 列表直接選擇Active Directory, 在彈出的對話框中選擇要遷移的 Active Directory Domain, 然後單擊 OK(參考圖 4);  如果出現找不到可用的 Active Directory Domain 的提示,則可以從 Foreign directory source 列表選擇 LDAP,在彈出的 LDAP Domino Upgrade Service 對話框中配置遠程 LDAP 目錄連接進行遷移(參考圖 5)。  在返回 People and Groups Migration 對話框後,根據需要在 Filter 下拉框中選擇用戶或組,然後單擊 GO! 按鈕,這時 Available people/groups 列表將顯示出 Active Direct ory 目錄當中待遷移的所有內容選項(參考圖 6)。使用“Add”或者“Add All”按鈕選擇要遷移的用戶和組,單擊“Migrate”按鈕將選擇的用戶放入註冊隊列,在彈出的消息框中確認等待註冊的用戶狀態和數量後,單擊“Done”按鈕確認。  這時 Active Directory 目錄中組的相關信息已經被直接添加到 Domino 目錄當中,隊列中等待註冊的用戶此時出現在“Register Person”框中(參考圖 7),管理員此時可以對用戶屬性進行一定修改,在對註冊信息進行確認後,單擊“Register All”按鈕完成所遷移用戶在 Domino 服務器當中的註冊。  使 用 Lotus Domino Administrator 提供的這一遷移工具,不僅可以實現從 Microsoft Active Directory 到 Domino Directory 的目錄遷移,還可以實現從任何其他 LDAP 目錄服務器向 Domino Directory 的目錄遷移。Lotus Domino Administrator 同時還支持從標準的 LDIF(LDAP Data Interchange Format)文件向 Domino Directory 的導入。 當 依賴於原有 Active Directory 的企業應用很多,並且對目錄服務器的類型依賴性很強時,Active Directory 需要被保留下來繼續提供目錄服務。而在 Domino 服務器當中部署新的應用時,有時需要對原有 Active Directory 當中的用戶等信息進行搜索,或者使用其中的用戶名、密碼進行身份驗證,這就要求 Domino 服務器能夠對 Active Directory 當中的目錄信息進行訪問。這時 Domino 服務器可以使用 Domino Directory Assistance 來連接原有 Microsoft Active Directory 目錄服務器,實現對 Domino Directory 的擴展。“Domino Directory Assistance”是對 Domino Directory 的一種擴展方式,通過它實現了對 Domino 本地主地址本之外的其他目錄信息進行訪問的方法,每一個“Directory Assistance”配置文檔定義了所要連接的一個外部目錄服務的具體位置、訪問方式以及認證信息等具體目錄屬性。 要 使用 Domino Directory Assistance 連接 Microsoft Active Directory,首先需要在 Domino 服務器端使用 da50.ntf 模版創建 Directory Assistance 數據庫。打開創建後的數據庫,添加 Directory Assistance 配置文檔,一個 Domino 服務器可以使用 Domino Directory Assistance 數據庫當中的多個配置文檔同時連接多個外部目錄。 在 Directory Assistance 配置文檔的“Basics”選項附簽上,“Domain type”項選擇“LDAP”(參考圖 8)。  “Naming Contexts(Rules)”選項附簽上,由於在 Active Directory 中註冊的用戶的專有名稱與 Notes 命名約定不一致,所以需要使用全星號規則來表示這些用 戶的專有名稱,爲該 規則選擇“Trusted for Credentials”是啓用了按證書信任,以便使用 Active Directory 中的用戶項進行 Internet 客戶機驗證(參考圖 9)。  在“LDAP”附籤設置上需要配置遠程 Active Directory 的“Hostname”、“ Port”、“Optional Authentication Credential”以及“Base DN for search”等參數(參考圖 10)。在配置的過程當中可以使用每項配置參數對應的“Suggest”或“Verify”等按鈕幫助更好的進行設置,這是 Domino 8.0 當中提供的新功能。  設置完成後保存文檔並關閉。要使創建好的 Directory Assistance 數據庫設置生效,需要將其添加到 Domino 服務器文檔當中。從 Domino Administrator 客戶端打開 Domino 服務器,單擊“Configuration”附籤;在左側窗格中的 Server > All Server Documents 列表當中選擇特定的服務器文檔,然後單擊“Edit Server”;在“Basics”附籤“Directory Information”區段的“Directory assistance database name”域中,輸入創建好的 Directory Assistance 數據庫文件名,例如 da.nsf(參考圖 11),在對修改的 Domino 服務器文檔進行保存後需要重新啓動 Domino 服務器以使其生效。  設置之後,用戶便可以在 Domino 應用當中輕鬆的訪問 Active Directory 信息。例如可以從瀏覽器打開一個 Domino 應用程序,當提示輸入用戶名與密碼時,用戶可以使用自己的 Active Directory 用戶信息進行登陸。 Directory Assistance 數據庫除了可以用來連接 Active Directory 目錄服務器外,同樣可以連接其他基於 LDAP 協議的輕量級目錄服務器。 方 法二的缺點在於需要維護兩套獨立的目錄服務,結果可能是每個用戶都需要在兩個目錄服務器當中擁有不同的用戶名和密碼,而且用戶需要在不同的應用程序之間交 替使用它們,增加了用戶使用的複雜度。每當有新用戶加入,管理員都需要在兩個目錄當中分別進行註冊,同樣當用戶註銷時也需要在兩個目錄當中分別進行刪除, 增加了管理員的工作量。Lotus Domino Active Directory Synchronization(ADSync) 適當的解決了這一問題,它可以實現兩套目錄當中信息的同步,在降低了管理員管理成本的同時也提高了用戶體驗。ADSync 是隨 Domino Administrator 客戶端提供的,因爲不是默認安裝組件,需要用戶在安裝過程當中選擇 Domino Directory W2000 Sync Service 選項進行安裝 ( 參考圖 12)。  ADSync 的操作並不複雜,安裝配置完畢後從開始菜單中打開“Active Directory Users and Computers”,雙擊“Domino Directory Synchronization”對象來啓動 ADSync 工具。提示輸入管理員密碼後會出現對話框確認啓動成功。此時,管理員通過 ADSync 來保持 Domino Directory 和 Active Directory 用戶和組的同步。完成初始化後,“Lotus ADSync Options”對話框將打開(參考圖 13),管理員可以通過以下選項進行設置:
 通過右擊 Domino Directory synchronization 可以方便地啓用或禁用同步(參考圖 14)。  Domino Directory synchronization 正確啓用後,便可以進行 Active Directory 和 Domino Directory 的同步操作。使用 Adsync 時必須明確,哪些操作可以由 Domino 客戶端執行,哪些操作可以由 Active Directory 執行。 Domino 客戶端可以執行註冊用戶、刪除用戶、刪除組,重命名用戶等操作。以註冊用戶爲例,操作如下: 從 Domino Administrator 客戶端進入註冊用戶界面 , 選中“Advanced”選項,單擊“Other”附籤,點擊“Windows User Options”按鈕進入“Add Person to Windows”對話框(參考圖 15),在這裏可以進行詳細的 Active Directory 信息設置,如完整名稱、登錄名稱、所屬組名稱以及所屬容器名稱等。  2、使用 Active Directory Active Directory 可執行的操作有:註冊用戶、刪除用戶、重命名用戶、同步用戶和組數據、創建組、刪除組、重命名組等操作。以註冊用戶爲例,操作如下: 從“開始”菜單選擇“Administrative Tools –>Active Directory Users and Computers”,對 ADSync 進行初始化和設置後,在添加 Active Directory 對象時會出現“Domino Directory”選項。在“New Object”對話框 中選擇“Register in Domino Directory”,並指定各個字段的信息,完成後,新對象將被同時創建在 Domino Directory 中(參考圖 16)。  關於 ADSync 的更多詳細內容可以參考文章“使用 ADSync 集成 IBM Lotus Domino Directory 和 Microsoft Active Directory”。
就 以上三種方法進行比較,方法一比較適合於對原有 Active Directory 服務依賴性不是很強的環境,遷移之後只需要維護 Domino Directory,遷移後的管理工作最簡單,工作量也最小,此方法同樣也適用於從 Active Directory 之外的其他 LDAP 服務器向 Domino Directory 的遷移。第二種方法需要維護兩套地址本,但保證了新舊應用系統的共存,在 Domino 應用中可以輕鬆訪問 Active Directory 目錄信息,此方法同樣適用於其他 LDAP 服務器與 Domino 目錄服務的集成。第三種方法仍然需要維護兩套地址本,但由於 ADSync 提供的同步功能,使得這種維護更爲簡單。 本文所述觀點是基於作者個人對相關產品的理解,並不代表 IBM 的官方觀點,IBM 不對本文中的信息負責。本文是在本人的知識範圍內寫成的,如果您發現有異議的地方,請與我們聯繫。文章中的姓名、郵件地址等相關信息均屬虛構,僅爲演示目的。
|
