lunedì 7 gennaio 2013

Inotes 8.5 Sametime ed integrazione con Active Directory

In questo periodo al lavoro, sono impiegato nella realizzazione di un nuovo ambiente Domino (Posta+Bes+Traveler+Connections Files&Profiles), che il cliente utilizzarà via browser e dove non vogliono avere la complicazione di gestire un'utenza supplementare, ma accedere tramite l'utenza già in uso attualmente, cioè Active Directory (abbreviato AD).

Per fare questo sono necessari alcune configurazioni.

1) Accesso al Sistema
Per iniziare è necessario abilitare le utenze di Active Directory all'accesso nel mondo Domino.
Questo si fa aggiungendo un documento nel Directory Assistance (abbreviato DA) che punti ad un domain controller.



In questo modo gli utenti saranno abilitati al login, ovviamente nei DB dove saranno autorizzati ad accedere nelle ACL ,  perchè accedendo con utenza AD, si ha un DN differente da quello Domino.
Questo sta a significare che se provassi a loggarmi sul mio db di posta con untenza AD in questo stadio non riuscirei ad accedere.

2) Match dell'utenza fra domino e AD
Per rendere l'infrastruttura gestibile, senza impazzire andando ad inserire tutte le utenze AD nelle ACL Domino, nel documento del DA che punta ad AD, si può impostare l'associazione utenza fra AD e Domino.
Si sceglie un campo in AD non utilizzato per inserire i DN delle utenze Domino, e si dice poi a Domino di leggerlo per andare a fare l'associazione.

Nello screenshot sottostante potete vedere il settaggio fatto per impostare il campo info di AD a questo scopo:


Ed ora lo screenshot del campo info



In questo modo, dopo il login con l'utenza di AD, Domino ci "trasformerà" nell'utente Domino, permettendoci la login (ad esempio nel nostro DB di posta) senza strane modifiche all'ACL.

3) Configurazioni per Sametime embedded in iNotes
In questo ambiente ho configurato un Sametime Community con Sametime Proxy (tutto versione 8.5.2IFR1) impostando SSO fra Domino e Sametime Proxy.
L'ambiente ha repository utenti sempre Active Directory. Ora loggandoci sulla posta seguendo quello che ho scritto nei punti 1 e 2 siamo dentro il DB di posta e siamo l'utente Domino, per cui, il Sametieme Embedded nella sidebar non ci loggherà dando "Errore 500, inserire credenziali valide".

Per fare questo è necessario impostare Domino perchè vada ad inserire anche il nome di login, nel forumato LDAP di AD  , nel token che viene genereato alla login e che viene passato da Inotes a Sametime.

Per fare questo la prima cosa da fare è impostare nel Token SSO l'iscrizione del nome utente nel Token.



Dopo aver fatto questo possiamo andare nel DA, nel tab Basic ed impostiamo come $DN il campo che Domino deve andare a leggere quando deve scrivere il nome nel token LTPA.


Il campo $DN si trova nella Domino Directory, all'interno dei documenti persona nel tab di Administration.
In questo campo dovremo inserire in tutti gli utenti Domino, il corrispondente utente Active Directory.



Una volta eseguito quest'ultimo passaggio, anche il Sametime Proxy (il sametime della sidebar) si collegherà, dandoci quindi l'intero accesso all'esperienza iNotes!
Per awareness funzionante nella inbox è necessario che l'untenza LDAP e l'utenza domino abbiano indirizzo internet uguale !
E' inoltre necessario anche impostare la configurazione del sametime con i parametri corretti sia nel documento di configurazione server che in una policy mail assegnata agli utenti.

Il popolamento dei DN di Domino dentro ai campi di AD , e dei nomi AD dentro i documenti persona di Domino suggerisco di impostarlo tramite 2 Assembly line di Tivoli Directory Integrator, che è compreso negli entitlement di Domino a titolo gratuito per queste esigenze.

Il prossimo step che faremo in questo ambiente è la realizzazione del login tramite SPNEGO per non dover nemmeno inserire la prima volta la password di login WEB (ovviamente dai computer appartenenti al Dominio Active Directory).
Vedremo se impostarla tramite Connections o tramite Domino, come spiega il collega Andrea Fontana nel suo blog.

UPDATE: ho configurato un ambiente Domino 9 con ldap Tivoli Directory Server e la guida è valida anche in quel caso.


2 commenti:

  1. Ciao...ma è possibile installare il sametime entry sulla stessa macchina dove è installato domino? (con anche la webmail e il traveler attivi).

    RispondiElimina
  2. Ciao, visto quello che mi dici senza sapere il numero di utenti ti consiglio di usare una macchina in piu' per sametime (community e proxy). Meglio dividere i servizi, anche perchè sametime non è proprio light e poi ti limiterebbe su aggiornamenti futuri (ad esempio se il mese prossimo esce Domino 9 non potresti aggiornare il server perchè la presenza di sametime non te lo permetterebbe)

    RispondiElimina