我们希望允许IBM Notes和Active Directory身份验证都用于Domino应用程序服务器,至少目前是这样。员工正逐渐从Notes转移到O365(使用AD),用于邮件,因此这将允许在过渡期间将这两种方法都用于应用程序。我的问题与这个问题有点相似,但更具体。我们基本上遵循了这位IBM技术专家,为AD添加了可分辨的名称,设置了目录协助(DA),它在某种程度上起了作用。这就是我们发现的:
-
使用AD帐户登录后,Domino服务器会将AD帐户与Notes帐户正确匹配,从而使用Domino进行授权。这意味着Notes组、角色、ACL等可以正常工作。例如,对于一个应用程序,我在一个浏览器中使用AD帐户登录,在另一个浏览器使用Notes帐户登录。在两者中保存更改后,我可以在每个浏览器中看到更改(文档仅基于@Username显示)。在后端,所有文档都由同一个Notes用户更新。因此,有两种方法可以对同一Notes帐户进行身份验证。
-
在生产服务器上(在和NotesLDAP相同的Domino域中),使用AD帐户登录会强制更改密码页。请注意,Notes帐户仍然有其密码和密码过期策略。我承认,如果我们删除这些,它应该会起作用,但这不是我们现在想做的事情。
-
在生产服务器上,使用不在Domino中的AD帐户登录几乎是即时的。否则,可能需要大约10秒(这是不可接受的)。
-
当登录到另一个Domino服务器时,在与LDAP不同的Domino域中,登录仍然很慢,如上所述,但不会出现更改密码页面。
-
从Domino服务器,我们可以ping AD,并且跟踪只显示两个跃点。
- 更改DA中AD的顺序似乎对速度没有任何影响,禁用Notes目录也没有
知道我们如何同时使用Domino和AD向Domino应用程序服务器进行身份验证吗?有人能做到这一点吗?您是否找到了加快身份验证过程的方法?此外,您在本例中看到更改密码页面了吗?如果看到了,您做了什么来修复它?
提前谢谢。
对于其他需要帮助的人,我们向IBM寻求帮助,答案是:
- 要删除"更改密码"页面,请清除个人文档中"密码摘要"字段的值
- 根据这位IBM技术专家的说法,要修复速度,请使用自定义LDAP筛选器