Comments
Description
Transcript
と の連携 Domino Directory Active Directory
® IBM Software Group Domino DirectoryとActive Directoryの連携 -Lotus Notes/Domino 6.5 AD DUS、ADSync、ディレクトリアシスタント機能概要 日本アイ・ビー・エム株式会社 ソフトウェア事業 ロータス技術部 IBM Software Group | Lotus software はじめに 本資料の記載内容は、正式な IBM のテストやレビューを受けておりません。内容につい て、できる限り正確を期すよう努めてはおりますが、いかなる明示または暗黙の保証も 責任も負いかねます。本資料の情報は、使用先の責任において使用されるべきもので あること、あらかじめご了承ください。 掲載情報は不定期に変更されることもあります。他のメディア等に無断で転載する事は ご遠慮ください。 本資料の著作権は日本アイ・ビー・エムにあります。非営利目的の個人利用の場合にお いて、自由に使用してもかまいませんが、営利目的の使用は禁止させていただきます。 IBM、はIBM Corporationの商標。 その他、記載された社名および製品名は、それぞれ各社の商標または登録商標です。 2/16 IBM Software Group | Lotus software 目次 Domino DirectoryとActiveDirectoryの連携 Active Directory Domino Upgrade Services ・・・ p4 ・・・ p5 ・ ・ 機能概要 動作イメージ ADSync ・ ・ 機能概要 動作イメージ ディレクトリアシスタント ・ ・・・ p8 ・・・ p11 動作イメージ パスワード管理 ・・・ p13 Lotus Notesクライアント・Webクライアント 併用時 Webクライアント のみ 3/16 ® IBM Software Group Domino DirectoryとActiveDirectoryの連携 IBM Software Group | Lotus software Active Directory Domino Upgrade Services Lotus Dominoインストール直後にDomino DirectoryとActive Directory の同期化に使用するツール Active Directoryを既に運用しており、Lotus Dominoへの移行ないしは、 Lotus Dominoと共存させる場合に有効 5/16 IBM Software Group | Lotus software AD DUS機能概要 Lotus Domino管理者は、使い慣れたGUIを通してLotus Domino Administratorクライアントから、Domino Directory、Active Directoryへの ユーザー/グループの登録/削除が可能 既存のActive DirectoryユーザーをLotus Dominoに登録(移行用) Domino Administratorの通常のユーザー登録画面を利用するため、 ADSyncよりもLotus Dominoへのユーザー登録をきめ細かく操作可能 Windowsサーバー上で動作する Lotus Dominoはもちろん、 UNIX系プラットフォーム上で稼動する Lotus Dominoにも登録/削除が可能 Lotus Domino 6からの新機能、"ポリシー"設定を利用して、Lotus Notes/Dominoのクライアント利用環境、各種設定の定義が可能 同期については、AD DUSでは行えないため、登録後ADSyncが必要 6/16 IBM Software Group | Lotus software AD DUS動作イメージ Lotus Domino 6.5 サーバー Domino Directory Windows 2000 Server ADドメインコントローラ Active Directory Lotus Domino Administrator で行った ユーザー登録/削除操作が マッピング情報に基づき DD、ADの双方に反映 Lotus Domino Administratorクライアント Win2000 ADドメイン管理PC 7/16 IBM Software Group | Lotus software ADSync Active Directoryのユーザー/グループ情報を Domino Directoryに反映させる ツール (Lotus Dominoのサーバータスクではない→後述の構成図を参照) マイクロソフト管理コンソール(MMC)のスナップインとして実装 通常、Active Directoryに対する変更は MMCから行うが、その操作を Domino Directoryに対しても反映 8/16 IBM Software Group | Lotus software ADSync機能概要 MMCから、Active Directoryに対して操作を行うだけで、Lotus Dominoに も情報が反映(既存のADユーザー情報を Lotus Dominoに登録することも 可能) Windowsサーバー上で動作する Lotus Dominoはもちろん、 UNIX系プラットフォーム上で稼動する Lotus Dominoともユーザー同期可 能 管理者による基本的なディレクトリ操作をほぼ網羅 ユーザーの追加 ユーザー情報(姓/名/メタデータ(住所、電話番号等))の変更 パスワードのリセット ユーザーの削除(Lotus Dominoユーザーのメールファイルの削除も可能)etc Lotus Domino 6からの新機能、"ポリシー"設定を利用して、Lotus Notes/Dominoのクライアント利用環境、各種設定の定義が可能 ADの MMCで変更したものが Domino Directoryに反映される (Domino Directoryを直接変更したものは、Active Directory側に 反映されません) 9/16 IBM Software Group | Lotus software ADSync動作イメージ Lotus Domino 6.5 サーバー Domino Directory MMCで行ったユーザー情報の 追加/変更操作が マッピング情報に基づき DD、ADの双方に反映 Windows 2000 Server ADドメインコントローラ Active Directory 同期時のデータの流れ AD→DD Lotus Domino Administratorクライアント Win2000 ADドメイン管理PC 10/16 IBM Software Group | Lotus software ディレクトリアシスタント サーバーで、ローカルの 1 次 Domino Directory (NAMES.NSF) 以外 のディレクトリから情報を検索できるようにするための機能 次の各サービスについて特定のディレクトリを使用できるように、ディレク トリアシスタントを設定可能 クライアント認証 データベース認証のためのグループ検索 Lotus Notes メールのアドレス指定 LDAP サービスの検索や参照 LDAPサーバーとしてActive Directoryを利用可能 11/16 IBM Software Group | Lotus software ディレクトリアシスタント 動作イメージ Lotus Domino 6.5 サーバー Domino Directory Lotus Notes 6.5 クライアント Web LDAP Windows 2000 Server ADドメインコントローラ Active Directory 12/16 ® IBM Software Group パスワード管理 IBM Software Group | Lotus software パスワード管理 -Lotus Notesクライアント・Web併用時 管理するパスワードは以下 3種類 Windowsログオン・パスワード Lotus NotesユーザーIDのパスワード Lotus Notesインターネット・パスワード Windowsログオン・パスワードと Lotus Notes IDパスワードの連携 ・・・Notes Single Logon Service Windowsログオン・パスワードと、Lotus Notes IDのパスワードを連動させる サービス • Windowsログオン時にパスワード入力すれば、Lotus Notesクライアント のパスワード入力はスキップ • いずれかのパスワードを変更すると他方も自動的に変更 NotesIDのパスワードと Lotus Notesインターネットパスワードの同期機能 Lotus Notes IDのパスワード変更により、Lotus Notesインターネットパスワー ドも自動的に変更 →上記 2つを併用することでWindowsログオン、Notes ID、 インターネットパスワードの 3つが同期 14/16 IBM Software Group | Lotus software パスワード管理-Webのみ (Lotus Notesクライアントは使用しない) 管理するパスワードは以下 2種類 Windowsログオン・パスワード Lotus Notesインターネット・パスワード ※ ユーザーは Lotus Notes IDを持たない Lotus Notesクライアントを使用しないため、 Lotus Notesクライアントがトリガーとなるパスワード同期機能が使えない →つまり、ユーザーが自分のパスワードを変更することが出来ない (直接サーバーの公開アドレス帳を編集させるのは非現実的) ADSyncで MMCよりパスワードのリセットは可能 (管理者の手を介する) →パスワード管理は困難。 ADSyncではなく、ディレクトリアシスタントを利用し LDAP経由で ADの情報を参照する事を考えた方が良い 15/16 IBM Software Group | Lotus software 参考情報へのリンク Lotus ADSyncを利用したActive Directoryとの同期化(Redbook) http://www-6.ibm.com/jp/domino07/lotus/home.nsf/Content /DP8_Lotus_Notes_Domino_6_ADSyncRB Notes/Domino 6 ADSync 機能検証 レポート (PWSW会員専用) http://www-100.ibm.com/partnerworld/software/japan/lotus_db.nsf/ docid/00100209 16/16