 | Уровень сложности: средний Тони Паттон, консультант,
03.04.2007 Корпоративная IT-среда с разными платформами служб каталогов является обычным сценарием, а IBM Lotus Domino Directory и Microsoft Active Directory - это популярные варианты такого сценария. В данной статье рассматривается метод легкой организации взаимодействия каталогов этих двух платформ с использованием программы Lotus Domino Active Directory Synchronization (ADSync).
Работа с несовместимыми системами является типичной в большинстве организаций, но различные системы могут стать проблемой при поддержке корпоративных каталогов. Обычная ситуация - использование служб каталогов Microsoft Active Directory и IBM Lotus Domino в корпоративной IT-инфраструктуре. Lotus Domino часто используется для корпоративной системы обмена сообщениями, в то время как Active Directory работает с пользователями сети. Для упрощения системного администрирования полезно обслуживать обе службы каталогов из одного места. IBM обнаружила эту необходимость и разработала программу Lotus Domino Active Directory Synchronization (или ADSync), впервые появившуюся в Lotus Domino V6. Она работает с Microsoft Windows 2000 и более поздними версиями.
ADSync позволяет администраторам поддерживать синхронизацию пользователей Domino Directory и Active Directory. Администраторы могут регистрировать, синхронизировать свойства и пароли, переименовывать и удалять пользователей и группы в Domino Directory, когда аналогичные действия выполняются в Active Directory, и наоборот. В эту функциональность входят отображения контейнеров и свойств между двумя службами каталогов и использование политик для регистрации пользователей. Установить и использовать программу просто, но существуют некоторые моменты, которые следует учитывать.
В данной статье используются следующие продукты:
- Microsoft Windows Server 2003
- Lotus Domino V7.0.1
- Lotus Domino Administrator V7.0.1
Установка и настройка
Программа ADSync включена в IBM Lotus Domino Administrator client. Она не устанавливается по умолчанию, но доступна как один из необязательных программных файлов, поэтому нужно отметить ее при установке (см. рисунок 1). В окне Custom Setup мастера установки IBM Lotus Notes выберите Domino Administrator и Domino Directory W2000 Sync Services.
Рисунок 1. Выбор ADSync во время установки Domino Administrator client
Установленная ADSync – это один DLL-файл (nadsync.dll) и справочный файл (adsynch.chm). Если ADSync устанавливается на платформе Windows, необходимо завершить установку, выполнив команду:
Regsvr32 nadsync.dll
При этом ADSync регистрируется как MMC-модуль (Microsoft Management Console), что делает ее доступной в программе Active Directory Users and Computers. Еще одной задачей установки является настройка соответствующих параметров защиты для администраторов Lotus Domino и Active Directory.
Настройка параметров защиты
Защита является ключевым аспектом использования ADSync. Администраторы Active Directory должны иметь административный доступ к соответствующей службе Domino Directory, а администраторы Domino - соответствующий доступ к службе Active Directory. Администраторам Active Directory нужно установить сертифицированный должным образом Notes ID и обязательный доступ для работы с Domino Directory. Кроме того, необходимо создать политики для всех центров сертификации Domino, в которых создаются пользователи. С другой стороны, администраторы Domino должны иметь необходимые права в службе Active Directory для выполнения всех функций (например, добавление пользователей и групп). IBM рекомендует копировать файл ID центра сертификации (cert.id) с Domino-сервера в каталог данных Domino Administrator.
Последний шаг установки - инициализация ADSync из программы Active Directory Users and Computers. Выполните двойной щелчок кнопкой мыши по объекту синхронизации Domino для активизации процесса (см. рисунок 2). Появится запрос Domino-сервера, за которым последует запрос пароля администратора (admin.id в каталоге данных Domino-сервера). Затем появится диалоговое окно для подтверждения успешной установки.
Рисунок 2. Инициализация программы ADSync
Диалоговое окно Lotus ADSync Options
После завершения инициализации открывается диалоговое окно Lotus ADSync Options. (для доступа к этому окну после инициализации выполните двойной щелчок кнопкой мыши на строке Domino Directory synchronization, показанной на рисунке 2). Диалоговое окно Lotus ADSync Options содержит следующие четыре закладки:
- Notes Synchronization Options. Эту закладку можно использовать для разрешения или запрещения всех параметров синхронизации, а также для их выборочного разрешения/запрещения. Кроме того, можно указать, когда отображаются запросы (для всех операций, только для удалений, при отсутствии операций), а также выбрать использование Certificate Authority для сертификации (см. рисунок 3).
Рисунок 3. Закладка Notes Synchronization Options
- Notes Settings. В этой закладке указывается Domino-сервер, используемый для всех операций, или отдельные серверы для индивидуальных операций, например, для регистрации, синхронизации и удаления. Кроме того, можно указать настройки Domino, в том числе ID администрирования, действие, выполняющееся во время удаления пользователя, имя центра сертификации по умолчанию и политику Domino-групп (см. рисунок 4).
Рисунок 4. Закладка Notes Settings
- Field Mappings. Эта закладка используется для отображения полей Active Directory в поля Domino Directory. Выберите строку (поле Active Directory), и поле Domino, отображающееся в нее (см. рисунок 5).
Рисунок 5. Поле Field Mappings
- Container Mappings. Эта закладка используется для отображения контейнеров Active Directory в конкретные контейнеры центров сертификации Domino и/или политики (см. рисунок 6). По умолчанию выбранные во время установки центр сертификации и политика используются для всех операций.
Рисунок 6. Закладка Container Mappings
Во всех закладках диалогового окна Lotus ADSync Options доступна кнопка Help. Она предоставляет доступ к общей справочной системе MMC, а также к специфическим для ADSync темам. Можно легко разрешить или запретить синхронизацию, выбрать варианты и открыть окно справочной помощи, нажав правой кнопкой мыши на строку Domino Directory synchronization (как показано на рисунке 7) либо используя меню Action.
Рисунок 7. Разрешение синхронизации Domino Directory
После правильного конфигурирования параметров все готово для синхронизации пользователей служб Active Directory и Domino Directory. Начнем с клиента Domino Administrator client.
Использование клиента Domino Administrator
ADSync добавляет параметр Advanced (см. рисунок 8) в диалоговое окно Register Person. Выбор этого параметра обеспечивает доступ к параметрам Active Directory при помощи кнопки Windows User Options в закладке Other диалогового окна Register Person.
Рисунок 8. Диалоговое окно Register Person в Lotus Domino
На рисунке 9 показано окно, открывающееся при нажатии кнопки Windows User Options. Здесь можно указать, нужно ли создавать соответствующего пользователя Active Directory, какую службу Active Directory использовать, а также такие параметры Active Directory: полное имя, имя регистрации и группы.
Рисунок 9. Параметры Active Directory для нового пользователя Domino
Работа с Lotus Domino завершается работой с пользователями. После этого переходим к Active Directory.
Использование Active Directory
Программа Active Directory Users and Computers доступна в Administrative Tools операционной системы Windows через выбор Administrative Tools - Active Directory Users and Computers. Если программа ADSync установлена и настроена, Domino Directory может добавлять объекты Active Directory (люди и группы). Диалоговое окно New Object имеет параметр "Register in Domino Directory"; этот параметр выбирается для создания нового объекта в Lotus Domino с информацией, введенной в полях.
Кроме того, можно добавить или синхронизировать существующего пользователя в Lotus Domino, нажав правой кнопкой мыши на объект в Active Directory и выбрав соответствующий вариант. При выборе варианта Register in Domino для существующего пользователя Active Directory открывается диалоговое окно, показанное на рисунке 10. Можно использовать значения по умолчанию и завершить регистрацию пользователя без дальнейших запросов, либо указать имя и пароль для каждого выбранного пользователя. Есть возможность выбрать вариант, предпринимать ли попытку регистрации при возникновении ошибок. После указания параметров можно зарегистрировать пользователя немедленно, позже или прекратить процесс.
Рисунок 10. Варианты регистрации для пользователей и групп Windows
Кроме индивидуальных пользователей можно также создать группы из Active Directory. Для этого выполните процесс синхронизации пользователя, выбрав регистрацию или синхронизацию из списка групп. Можно также создать группу в Lotus при ее создании в Active Directory, как показано на рисунке 11. В диалоговом окне New Object - Group вводится название группы, выбирается ее тип и добавляется описание.
Рисунок 11. Создание группы Domino Directory из Active Directory
Созданная группа появляется в Lotus Domino, как показано на рисунке 12. Поля Group name, Group type и Description заполняются введенной информацией из диалогового окна New Object. Обратите внимание на то, что новая группа не имеет характеристик, указывающих на то, что она была создана с использованием Active Directory.
Рисунок 12. Domino-группа, созданная с использованием Active Directory и ADSync
Как видите, использовать программу ADSync не сложно, но (как и при работе с любой другой программой) нужно учитывать определенные моменты.
Замечания по работе с ADSync
Одной из хитростей использования ADSync является понимание того, что на какой стороне работает, то есть, какие операции можно выполнить из Active Directory, а что может обрабатываться из клиента Domino Administrator. Однако это легко понять, если обратиться к таблице 1. В первом столбце указана задача, в следующих двух - работает или нет задача в указанной программе.
Таблица 1. Операции ADSync, инициируемые из Active Directory и Lotus Domino
| Операция | Из Active Directory | Из Lotus Domino |
|---|
| Регистрация пользователя | Да | Да |
|---|
| Переименование пользователя, созданного в Active Directory | Переименование только пользователя Active Directory | Переименование только пользователя Active Directory |
|---|
| Переименование пользователя, созданного в Lotus Domino | Да | Да |
|---|
| Синхронизация данных пользователя | Да | Нет |
|---|
| Удаление пользователя | Да | Да |
|---|
| Создание группы | Да | Нет |
|---|
| Переименование группы | Да | Нет |
|---|
| Синхронизация данных группы | Перезапись поля Domino Directory Members членством в группе, определенным в Active Directory | Нет |
|---|
| Удаление группы | Нет | Да |
|---|
Беглого взгляда на таблицу достаточно, чтобы сказать, что пользователи могут быть созданы на любой стороне, но регистрация пользователя зависит от того, где он был создан. Данные пользователя легко синхронизируются между системами из Active Directory, но не из Lotus Domino. Наконец, создание группы - это полностью задача Active Directory. Таким образом, использование ADSync требует хорошего знания этой таблицы. Еще одной задачей является работа с паролями.
Совместимые пароли
Синхронизация паролей выполняется при помощи кнопки Synchronize with Domino в программе Active Directory Users and Computers tool. Синхронизация не активизируется при изменении пароля путем нажатия Ctrl + Alt + Del. Вместо этого для синхронизации паролей Active Directory и Notes HTTP выделите пользователя в программе Active Directory Users and Computers и нажмите Synchronize with Domino.
Лучший метод поддержки синхронизации пользовательских паролей доступен через функциональность SSO (single sign-on - единая регистрация), выбираемую при установке клиента Lotus Notes (см. рисунок 13). Для разрешения SSO нужно выбрать подпараметр Client Single Logon Feature при установке Lotus Notes.
Эта функциональная возможность позволяет пользователям использовать единую регистрацию для Lotus Notes и для операционной системы. Это удобно для пользователей, поскольку используется только один механизм аутентификации, но доставляет большие хлопоты администратору при установке и настройке клиентского приложения.
Рисунок 13. Настройка SSO во время установки Lotus Notes
Программирование
Традиционный вопрос по использованию ADSync, относящийся к программной поддержке: можно ли использовать ADSync при создании Domino-пользователей при помощи сценариев? Короткий ответ - нет. ADSync - это MMC-модуль, облегчающий жизнь системному администратору. Однако он не предоставляет программных вариантов для упрощения создания и/или синхронизации пользователей или групп.
ADSync можно использовать для регистрации пользователей Domino во время создания пользователя Active Directory (либо после этого) и наоборот. На низком уровне способность создавать пользователей Active Directory доступна в Lotus Notes, но она не доступна разработчикам через какой-либо API в C, Java или LotusScript. Можно подумать, что взаимодействие с Active Directory доступно через платформу Microsoft .NET, однако она не предоставляет доступ к функциям ADSync. Для использования функциональности ADSync необходимо применять интерфейс Active Directory или Domino Directory.
Заключение
Как может сказать любой системный администратор, работа с корпоративными пользователями и группами представляет собой трудоемкий процесс. Она может стать еще более изнурительной, если в корпорации используется несколько несовместимых систем. Удобно иметь единый интерфейс для выполнения такой рутинной работы по администрированию, как создание, удаление и конфигурирование пользователей и групп. ADSync обеспечивает такую возможность, упрощая процесс поддержки синхронизации пользователей и групп Active Directory и Domino Directory. Однако обе стороны ADSync имеют свои тонкости, поэтому будьте готовы к ним при использовании программы, чтобы результаты соответствовали вашим ожиданиям.
Ресурсы Научиться
Получить продукты и технологии
Обсудить
Об авторе | | | Тони Паттон (Tony Patton) работает консультантом в Louisville, Kentucky. Занимается различными технологиями, в том числе Lotus Notes/Domino, Java и Microsoft .NET. Является автором двух книг по разработке в Lotus Notes/Domino ("Практическая работа в LotusScript" и "Использование Java для разработки Domino-приложений"), а также еженедельных рубрик на CNet.com, посвященных .NET и Web-разработке. Связаться с ним можно по адресу aspatton@bellsouth.net. |
Выскажите мнение об этой странице
| |
