Hallo,
ist es möglich dass sich Benutzer aus dem oben genannten Active Directory im Domino LDAP authentifiziern können?
Vielen Dank schon mal und Gruß!
Hallo,
ist es möglich dass sich Benutzer aus dem oben genannten Active Directory im Domino LDAP authentifiziern können?
Vielen Dank schon mal und Gruß!
t
was willst du machen? dass sich die User direkt da anmelden ohne das diese auf dem Domino regestriert sind, oder willst du diese migrieren?
Hi,
bei uns authentifizieren sich die Benutzer am Proxy über AD und für die Webanwendungen am Domino LDAP. Dewswegen wollte ich, dass das AD auch ins Domino LDAP schaut...
Geht das überhaupt so oder gibt es da geschicktere Lösungen?
da bin ich etwas überfragt, vielleicht bring es was wenn du die Benutzer migrierst aus dem AD?
Arrow, Du musst die LDAP-Schnittstelle vom AD aktivieren, dann kannst Du im Notes das AD als weiteres LDAP-Directory via Directory Assistance (DA) einbinden. In der Hilfe zur DA steht auch beschrieben, wie man diese sekundären Adressbücher auch zur Authentifizierung an Webanwendungen verwenden kann.
Aber Achtung, es handelt sich dann um andere User, eine Korrelation zwischen Notes- und AD-User lässt sich so nicht herstellen. Dafür müsstest Du die "Domino Active Directory synchronization" aktivieren, die IMHO aber ein großer Sch... ist. Siehe Admin-Online-hilfe unter "Setting up Domino Active Directory synchronization".
Ja die Domino Active Directory synchronization kenn ich schon. Die ist wirklich mistig im moment :-D.
Werde mal kucken wie ich das AD ins LDAP einbinden kann.
Aber dann sind alle internen Benutzer doppelt drin....
Welchen nimmt er dann zur Authentifizierung?
<Zitat>
Welchen nimmt er dann zur Authentifizierung?
</Zitat>
Und dies ist das Problem. Ich hatte neulich auch ähnliches versucht und es dann gelassen.
So, habe jetzt das Windows 2000 Active Directory, laut Admin-Hilfe, in die Directory Assistance eingebunden.
Leider wird es mir nicht als Asressbuch angezeigt und es kann sich auch kein Nutzer daraus authentifizieren.
Gibt es noch weitere Einstellungen ?
Vielen Dank schon mal im Vorraus!
Gruß
Ähm Proxy???
Sorry das versteh ich jetzt nicht. Wir haben zwar einen, aber der ist nur zwischen internem und externem Netz.
Also zwischen dem AD Server und dem Domino Server ist nur ein Switch...
Hi,
reden wir aneinander vorbei??? Wenn ich Dich nochmal zitieren darf:
ZitatHi,
bei uns authentifizieren sich die Benutzer am Proxy über AD und für die Webanwendungen am Domino LDAP
Soweit ich Dich verstanden habe, müssen Deine Leute ein Kennwort (das aus dem AD) für den Proxyserver eingeben, wenn Sie ins Internet wollen und ein weiteres (nämlich das aus Notes), wenn Sie auf Eure Anwendung zugreifen. Du willst jetzt, daß Sie dies mit dem selben Kennwort machen und versuchst nun, dem Domino das AD Kennwort unterzujubeln.
Mein Vorschlag war jetzt, es genau andersrum zu machen und das Notes-Internetkennwort als zentrales Kennwort für browserbasierte Geschichten wie Proxyanmeldung und Webanwendung zu nehmen.
Wir atmen nun alle dreimal tief durch und wiederholen folgendes Mantra mehrmals:
"Die Dokumentation ist mein Freund. Viele viele sehr gescheite Menschen haben viel Zeit damit verbracht, wichtige Dinge niederzuschrieben. Ich werde immer zuerst in der Dokumentation nachsehen, bevor ich Fragen stelle".
Sorry hab den Anfang meines Threads nicht mehr so im Kopf gehabt.
Das Problem ist wir benutzen folgende Authentifizierungen:
AD: Squid Proxy authentifikation
50 % der Anwendungen Authentifikation
Domain Controller
Domino: Notes Clients
LDAP
50 % der Anwendungen Authentifikation
Ich wollte das halt vereinheitlichen, aber im Moment würde es mir reichen wenn ich das AD als LDAP Verzeichnis einbinden könnte, damit dir Anwendungen die sich über das Domino LDAP authentifizieren auch im AD nachsehen können.
Es ist immer einfach sich über diejenigen lustig zu machen die weniger Ahnung von der Materie haben. Ich bin lange genug im Forum unterwegs, dass ich die Regeln kenne. Aber ich will auch jetzt nicht darüber diskutieren. Finde das halt nur etwas taktlos.
Leider habe ich keine Ahnung was das für ein Filter sein soll und deswegen poste ich ja schließlich hier.
Gruß
Was heißt da lustig machen? Wollte nur ein wenig Ruhe in den Fred bringen. Und in den Technotes sollte man schon ein wenig stöbern, da finden sich immer wieder Schätze.
Und mit den Filtern solltest Dich auskennen, wenn Ihr LDAP einsetzt. Wenn Ihr die AD-Sachen nicht seht/nutzen könnt, dann hats was anderes - eben z.B. ein falsch gesetzter Filter im DA. Daher mein Link. probiers halt mal aus, schau ins Log, poste die Fehlermeldungen, etc. Wir helfen Dir schon weiter, brauchts ned eingeschnappt sein.
Nee bin nicht eingeschnappt
Also du meinst ich soll bei der DA-Datenbank den Filter auf Customized setzen? (stand bei mir auf Active Directory)
Dann weißt ich aber nicht was ich bei Mail Filter eingeben muss.
Als Authorization Filter würde ich dann:
(|(&(objectclass=group)(Member=%*))(&(objectclass=groupOfUniqueNames)(UniqueMember=%*))(&(objectclass=groupOfNames)(Member=%*)))
und als Authentication Filter:
(|(sAMAccountName=%*)(cn=%*)(|(&(sn=%a)(givenname=%z))(&(sn=%z)(givenname=%a))))
nehmen.
Aber wofür dieses Attribut: sAMAccountName ???
Gruß
Hmmm das Problem ist, dass ich nicht an dem AD rumfummeln kann.
Kann ich das irgendwie auslesen ?
Ich habe auf meinem Client den LDAP Browser und kann mit dem Benutzer und der Basis-DN:
DC=firma,DC=de
dort browsen...
Ich kann dort aber den jeweiligen Benutzernamen im Attribut sAMAcountName sehen.
Also den Namen den der jeweilige Benutzer zur Authentifizierung an der Domäne/Proxy benutzt.
Ich poste einfach mal den kompletten Eintrag das AD betreffend:
Basics
Domain type: LDAP
Domain name: Active Directory
Company name: Firma
Search order: 4
Make this domain
available to: LDAP Clients
Group Authorization: No
Enabled: Yes
OrgUnit4
OrgUnit3
OrgUnit2
OrgUnit1
Organization
Country
Enabled Trusted for Credentials
N.C. 1: */ */ */ */ */ * Yes No
N.C. 2: / / / / / No No
N.C. 3: / / / / / No No
N.C. 4: / / / / / No No
N.C. 5: / / / / / No No
LDAP Configuration
Hostname: HOSTNAME
Base DN for search: DC=firma,DC=de
Channel encryption: None
Port: 389
Advanced Options
Timeout: 60 seconds
Maximum number of entries returned: 100
Preferred mail format: Internet Mail Address
Type of search filter to use: Custom
Customized Filters
Mail Filter:
Authentication Filter: (|(sAMAccountName=%*)(cn=%*)(|(&(sn=%a)(givenname=%z))(&(sn=%z)(givenname=%a))))
Authorization Filter: (|(&(objectclass=group)(Member=%*))(&(objectclass=groupOfUniqueNames)(UniqueMember=%*))(&(objectclass=groupOfNames)(Member=%*)))
Sind die Einträge in Ordnung? Und weiß sonst noch jemand Rat?
Vielen Dank und Gruß