我已经成功地为 Web 用户配置了针对 Active Directory 的 IBM Domino 身份验证,方法是遵循https://www-10.lotus.com/ldd/dominowiki.nsf/dx/Streamlining_passwords_and_achieving_SSO_for_users_on_Windows_platforms..和。。http://www-01.ibm.com/support/docview.wss?uid=swg21293255 教程。现在,即使我的 Domino 目录中没有"个人"文档,用户也可以进行身份验证。有没有办法避免在特定用户缺少个人文档时进行身份验证?
根据本教程和"步骤 2"部分,我假设,当我不在 AD 中指定 LN 用户名时,Domino 会尝试根据用户的电子邮件在 names.nsf 中查找"个人"文档。但它不是这样工作的。如果在 AD 中指定 Notes 名称,Domino 服务器就不知道刚刚经过身份验证的用户的 Notes 用户名是什么。这里有没有办法以某种方式配置它,即 Domino 仅对 names.nsf 中可用的用户进行身份验证,而不是对 AD 中的所有用户进行身份验证?
我不确定你有什么,你想避免什么,但是,这里有一些笔记可以澄清事情:
- 您不需要 DA 即可让 Kerberos SSO 工作
- DA 允许"所有"AD 用户登录
- 登录后,您需要授权(正如Frantisek Kossuth所写)
- 可以使用 AD 名称设置授权 - 您不必拥有"个人"文档
- TDI 是最佳解决方案 - 您可以在 Domino 中仅"复制"所需的 AD 用户,并为其设置 SSO(您已经)