Windows AD单点登录Domino 8.5.1配置教程

本文档详细介绍了如何在Domino 8.5.1环境中配置Windows Active Directory实现单点登录功能。首先，我们将在Windows Server 2003 EE域环境中的域控制器和域成员服务器上进行以下操作： 1. **环境准备**: - 配置一个Windows XP Professional域成员作为客户端，确保它连接到域。 - 在域控制器上创建一个新的用户（如陈龙），设置一个复杂的且永不过期的密码（如smartdot）。 2. **用户账户管理**: - 在Active Directory Users and Computers中创建并配置用户账户，确保密码策略符合域安全要求。 3. **设置服务主名（SPN）**: - 使用`ActiveDirectorysetspn`工具为Lotus Domino服务器分配SPN，SPN的格式为HTTP/<DNS_name>@<Active_Directory_Kerberos_realm>。 - 例如：HTTP/www.renovations.com@AD.EAST.RENOVATIONS.COM，这表示Web浏览器将使用此SPN与Domino服务器通信。 4. **启用单点登录**: - 在Domino服务器上注册与Windows域中相同名称的用户账户。 - 为了使Windows客户端能够通过Kerberos协议自动登录，Web浏览器需要使用SPN来请求服务凭据。 5. **验证过程**: - 当Web浏览器连接到指定的URL（如http://www.renovations.com/names.nsf）时，会利用SPN来发起身份验证请求。 - 如果配置正确，服务器将验证凭据并允许单点登录，无需用户在每次访问时输入用户名和密码。 6. **注意事项**: - 每个DNS名对应的服务都应分配一个SPN，确保所有Web客户端能正确识别服务器。 - 需要定期检查和更新SPN以保持其有效性。 通过遵循这些步骤，IT管理员可以有效地配置Domino 8.5.1以利用Windows Active Directory实现单点登录，提高用户的登录体验和安全性。在实际操作中，应遵循最佳实践和组织的具体安全政策。