Microsoft Windows 2000 Active Directory und Domino LDAP

    t

    Theorie ist wenn man weiss wie es geht, und nix funktioniert.
    Praxis ist wenn es funktioniert aber keiner weiss warum.
    Microsoft hat Theorie und Praxis vereint, nix funktioniert und keiner weiss warum!!!

    was willst du machen? dass sich die User direkt da anmelden ohne das diese auf dem Domino regestriert sind, oder willst du diese migrieren?

    Theorie ist wenn man weiss wie es geht, und nix funktioniert.
    Praxis ist wenn es funktioniert aber keiner weiss warum.
    Microsoft hat Theorie und Praxis vereint, nix funktioniert und keiner weiss warum!!!

    Hi,
    bei uns authentifizieren sich die Benutzer am Proxy über AD und für die Webanwendungen am Domino LDAP. Dewswegen wollte ich, dass das AD auch ins Domino LDAP schaut...


    Geht das überhaupt so oder gibt es da geschicktere Lösungen?

    da bin ich etwas überfragt, vielleicht bring es was wenn du die Benutzer migrierst aus dem AD?

    Theorie ist wenn man weiss wie es geht, und nix funktioniert.
    Praxis ist wenn es funktioniert aber keiner weiss warum.
    Microsoft hat Theorie und Praxis vereint, nix funktioniert und keiner weiss warum!!!

    Arrow, Du musst die LDAP-Schnittstelle vom AD aktivieren, dann kannst Du im Notes das AD als weiteres LDAP-Directory via Directory Assistance (DA) einbinden. In der Hilfe zur DA steht auch beschrieben, wie man diese sekundären Adressbücher auch zur Authentifizierung an Webanwendungen verwenden kann.


    Aber Achtung, es handelt sich dann um andere User, eine Korrelation zwischen Notes- und AD-User lässt sich so nicht herstellen. Dafür müsstest Du die "Domino Active Directory synchronization" aktivieren, die IMHO aber ein großer Sch... ist. Siehe Admin-Online-hilfe unter "Setting up Domino Active Directory synchronization".

    Ja die Domino Active Directory synchronization kenn ich schon. Die ist wirklich mistig im moment :-D.
    Werde mal kucken wie ich das AD ins LDAP einbinden kann.
    Aber dann sind alle internen Benutzer doppelt drin....
    Welchen nimmt er dann zur Authentifizierung?

    <Zitat>
    Welchen nimmt er dann zur Authentifizierung?
    </Zitat>


    Und dies ist das Problem. Ich hatte neulich auch ähnliches versucht und es dann gelassen.

    Bye
    Torsten


    IBM Advanced Certified System Administrator - Lotus Notes and Domino 8.5

    So, habe jetzt das Windows 2000 Active Directory, laut Admin-Hilfe, in die Directory Assistance eingebunden.


    Leider wird es mir nicht als Asressbuch angezeigt und es kann sich auch kein Nutzer daraus authentifizieren.


    Gibt es noch weitere Einstellungen ?


    Vielen Dank schon mal im Vorraus!


    Gruß

    Hi,


    was hast Du denn für einen Proxy?


    Wie Du z.B. einen Squid gegen Domino authentifizierst findest Du hier.
    Dann geht die gesamte Web-Anmeldung (Applikation und Proxy) immer einheitlich gegen den Domino-Server.

    Für jedes Problem gibt es eine einfache Lösung, die es noch schlimmer macht.

    Ähm Proxy???
    Sorry das versteh ich jetzt nicht. Wir haben zwar einen, aber der ist nur zwischen internem und externem Netz.
    Also zwischen dem AD Server und dem Domino Server ist nur ein Switch...

    Hi,


    reden wir aneinander vorbei??? Wenn ich Dich nochmal zitieren darf:

    Zitat

    Hi,
    bei uns authentifizieren sich die Benutzer am Proxy über AD und für die Webanwendungen am Domino LDAP


    Soweit ich Dich verstanden habe, müssen Deine Leute ein Kennwort (das aus dem AD) für den Proxyserver eingeben, wenn Sie ins Internet wollen und ein weiteres (nämlich das aus Notes), wenn Sie auf Eure Anwendung zugreifen. Du willst jetzt, daß Sie dies mit dem selben Kennwort machen und versuchst nun, dem Domino das AD Kennwort unterzujubeln.


    Mein Vorschlag war jetzt, es genau andersrum zu machen und das Notes-Internetkennwort als zentrales Kennwort für browserbasierte Geschichten wie Proxyanmeldung und Webanwendung zu nehmen.

    Für jedes Problem gibt es eine einfache Lösung, die es noch schlimmer macht.

    Wir atmen nun alle dreimal tief durch und wiederholen folgendes Mantra mehrmals:
    "Die Dokumentation ist mein Freund. Viele viele sehr gescheite Menschen haben viel Zeit damit verbracht, wichtige Dinge niederzuschrieben. Ich werde immer zuerst in der Dokumentation nachsehen, bevor ich Fragen stelle".


    Using LDAP authentication filter to authenticate Active Directory users to Domino using sAMAccountName

    lodsnods


    Sorry hab den Anfang meines Threads nicht mehr so im Kopf gehabt.
    Das Problem ist wir benutzen folgende Authentifizierungen:


    AD: Squid Proxy authentifikation
    50 % der Anwendungen Authentifikation
    Domain Controller


    Domino: Notes Clients
    LDAP
    50 % der Anwendungen Authentifikation


    Ich wollte das halt vereinheitlichen, aber im Moment würde es mir reichen wenn ich das AD als LDAP Verzeichnis einbinden könnte, damit dir Anwendungen die sich über das Domino LDAP authentifizieren auch im AD nachsehen können.


    bofh


    Es ist immer einfach sich über diejenigen lustig zu machen die weniger Ahnung von der Materie haben. Ich bin lange genug im Forum unterwegs, dass ich die Regeln kenne. Aber ich will auch jetzt nicht darüber diskutieren. Finde das halt nur etwas taktlos.


    Leider habe ich keine Ahnung was das für ein Filter sein soll und deswegen poste ich ja schließlich hier.


    Gruß

    Was heißt da lustig machen? Wollte nur ein wenig Ruhe in den Fred bringen. Und in den Technotes sollte man schon ein wenig stöbern, da finden sich immer wieder Schätze.


    Und mit den Filtern solltest Dich auskennen, wenn Ihr LDAP einsetzt. Wenn Ihr die AD-Sachen nicht seht/nutzen könnt, dann hats was anderes - eben z.B. ein falsch gesetzter Filter im DA. Daher mein Link. probiers halt mal aus, schau ins Log, poste die Fehlermeldungen, etc. Wir helfen Dir schon weiter, brauchts ned eingeschnappt sein.

    Nee bin nicht eingeschnappt ;)


    Also du meinst ich soll bei der DA-Datenbank den Filter auf Customized setzen? (stand bei mir auf Active Directory)


    Dann weißt ich aber nicht was ich bei Mail Filter eingeben muss.


    Als Authorization Filter würde ich dann:


    (|(&(objectclass=group)(Member=%*))(&(objectclass=groupOfUniqueNames)(UniqueMember=%*))(&(objectclass=groupOfNames)(Member=%*)))


    und als Authentication Filter:


    (|(sAMAccountName=%*)(cn=%*)(|(&(sn=%a)(givenname=%z))(&(sn=%z)(givenname=%a))))


    nehmen.


    Aber wofür dieses Attribut: sAMAccountName ???


    Gruß

    Hmmm das Problem ist, dass ich nicht an dem AD rumfummeln kann.
    Kann ich das irgendwie auslesen ?


    Ich habe auf meinem Client den LDAP Browser und kann mit dem Benutzer und der Basis-DN:


    DC=firma,DC=de


    dort browsen...


    Ich kann dort aber den jeweiligen Benutzernamen im Attribut sAMAcountName sehen.
    Also den Namen den der jeweilige Benutzer zur Authentifizierung an der Domäne/Proxy benutzt.

    Ich poste einfach mal den kompletten Eintrag das AD betreffend:


    Basics
    Domain type: LDAP
    Domain name: Active Directory
    Company name: Firma
    Search order: 4
    Make this domain
    available to: LDAP Clients
    Group Authorization: No
    Enabled: Yes



    OrgUnit4
    OrgUnit3
    OrgUnit2
    OrgUnit1
    Organization
    Country
    Enabled Trusted for Credentials
    N.C. 1: */ */ */ */ */ * Yes No
    N.C. 2: / / / / / No No
    N.C. 3: / / / / / No No
    N.C. 4: / / / / / No No
    N.C. 5: / / / / / No No

    LDAP Configuration
    Hostname: HOSTNAME
    Base DN for search: DC=firma,DC=de
    Channel encryption: None
    Port: 389
    Advanced Options
    Timeout: 60 seconds
    Maximum number of entries returned: 100
    Preferred mail format: Internet Mail Address
    Type of search filter to use: Custom
    Customized Filters
    Mail Filter:
    Authentication Filter: (|(sAMAccountName=%*)(cn=%*)(|(&(sn=%a)(givenname=%z))(&(sn=%z)(givenname=%a))))
    Authorization Filter: (|(&(objectclass=group)(Member=%*))(&(objectclass=groupOfUniqueNames)(UniqueMember=%*))(&(objectclass=groupOfNames)(Member=%*)))