從 Microsoft Active Directory 到 Domino Directory 的遷移與集成

在一個企業(yè)或者組織當(dāng)中，由于歷史原因擁有多個企業(yè)目錄平臺是很常見的，而如何讓多種目錄服務(wù)相互協(xié)作或同步、盡量減少管理員的維護(hù)工作量、降低用戶使用當(dāng)中的復(fù)雜度，對企業(yè)信息系統(tǒng)而言非常重要。IBM Lotus Domino Directory 和 Microsoft Active Directory 作為常用的兩種目錄服務(wù)器產(chǎn)品經(jīng)常同時出現(xiàn)在企業(yè)應(yīng)用環(huán)境當(dāng)中。很多公司在 Active Directory 的目錄服務(wù)基礎(chǔ)之上建立了文件共享以及很多其他基于 Microsoft Windows 的應(yīng)用程序，而后又引入了 IBM Lotus Domino 作為企業(yè)郵件、信息協(xié)作和辦公自動化的平臺。如何將這兩種企業(yè)目錄集成、如何進(jìn)行取舍，要根據(jù)現(xiàn)有系統(tǒng)的具體情況和企業(yè)未來發(fā)展需求進(jìn)行確定。以下是三種常見的從 Active Directory 到 Domino Directory 的遷移與集成方法，每種方法都適合不同的企業(yè)環(huán)境。

方法一：從 Microsoft Active Directory 到 IBM Lotus Domino Directory 的完全遷移

如果依賴于原有 Active Directory 服務(wù)器的應(yīng)用不是很多，或者應(yīng)用程序完全基于 LDAP 標(biāo)準(zhǔn)而不依賴于某種具體的目錄服務(wù)器，那么可以考慮將原有 Active Directory 目錄服務(wù)器當(dāng)中的用戶和組等信息完全遷移到 Domino 目錄服務(wù)器當(dāng)中。IBM Lotus Domino Directory 通過 Lotus Domino Administrator 管理工具支持對 LDAP 的遷移。

打開 Lotus Domino Administrator 客戶端，連接到 Domino 服務(wù)器，選擇 Users and Groups 頁面，在右側(cè)的 Tools 欄中選擇 People >Register, 進(jìn)入 Register Person 對話框（參考圖 3）。

點(diǎn)擊  Migrate People 按鈕，進(jìn)入 People and Groups Migration 對話框，對于外部目錄源選項的配置可以有兩種選擇：一種是從 Foreign directory source 列表直接選擇 Active Directory, 在彈出的對話框中選擇要遷移的 Active Directory Domain, 然后單擊 OK（參考圖 4）；

圖 4. 以 Active Directory 作為目錄源直接對用戶和組進(jìn)行遷移

如果出現(xiàn)找不到可用的 Active Directory Domain 的提示，則可以從 Foreign directory source 列表選擇 LDAP，在彈出的 LDAP Domino Upgrade Service 對話框中配置遠(yuǎn)程 LDAP 目錄連接進(jìn)行遷移（參考圖 5）。

圖 5. 通過標(biāo)準(zhǔn) LDAP 形式對 Active Directory 當(dāng)中的用戶和組進(jìn)行遷移

在返回 People and Groups Migration 對話框后，根據(jù)需要在 Filter 下拉框中選擇用戶或組，然后單擊 GO！ 按鈕，這時 Available people/groups 列表將顯示出 Active Directory 目錄當(dāng)中待遷移的所有內(nèi)容選項（參考圖 6）。使用“Add”或者“Add All”按鈕選擇要遷移的用戶和組，單擊“Migrate”按鈕將選擇的用戶放入注冊隊列，在彈出的消息框中確認(rèn)等待注冊的用戶狀態(tài)和數(shù)量后，單擊“Done”按鈕確認(rèn)。

圖 6. 個人和群組遷移對話框

這時 Active Directory 目錄中組的相關(guān)信息已經(jīng)被直接添加到 Domino 目錄當(dāng)中，隊列中等待注冊的用戶此時出現(xiàn)在“Register Person”框中（參考圖 7），管理員此時可以對用戶屬性進(jìn)行一定修改，在對注冊信息進(jìn)行確認(rèn)后，單擊“Register All”按鈕完成所遷移用戶在 Domino 服務(wù)器當(dāng)中的注冊。

圖 7. 注冊用戶對話框

使用 Lotus Domino Administrator 提供的這一遷移工具，不僅可以實(shí)現(xiàn)從 Microsoft Active Directory 到 Domino Directory 的目錄遷移，還可以實(shí)現(xiàn)從任何其他 LDAP 目錄服務(wù)器向 Domino Directory 的目錄遷移。Lotus Domino Administrator 同時還支持從標(biāo)準(zhǔn)的 LDIF（LDAP Data Interchange Format）文件向 Domino Directory 的導(dǎo)入。

方法二：使用 Domino Directory Assistance 連接原有 Microsoft Active Directory

當(dāng)依賴于原有 Active Directory 的企業(yè)應(yīng)用很多，并且對目錄服務(wù)器的類型依賴性很強(qiáng)時，Active Directory 需要被保留下來繼續(xù)提供目錄服務(wù)。而在 Domino 服務(wù)器當(dāng)中部署新的應(yīng)用時，有時需要對原有 Active Directory 當(dāng)中的用戶等信息進(jìn)行搜索，或者使用其中的用戶名、密碼進(jìn)行身份驗證，這就要求 Domino 服務(wù)器能夠?qū)?Active Directory 當(dāng)中的目錄信息進(jìn)行訪問。這時 Domino 服務(wù)器可以使用 Domino Directory Assistance 來連接原有 Microsoft Active Directory 目錄服務(wù)器，實(shí)現(xiàn)對 Domino Directory 的擴(kuò)展。“Domino Directory Assistance”是對 Domino Directory 的一種擴(kuò)展方式，通過它實(shí)現(xiàn)了對 Domino 本地主地址本之外的其他目錄信息進(jìn)行訪問的方法，每一個“Directory Assistance”配置文檔定義了所要連接的一個外部目錄服務(wù)的具體位置、訪問方式以及認(rèn)證信息等具體目錄屬性。

要使用 Domino Directory Assistance 連接 Microsoft Active Directory，首先需要在 Domino 服務(wù)器端使用 da50.ntf 模版創(chuàng)建 Directory Assistance 數(shù)據(jù)庫。打開創(chuàng)建后的數(shù)據(jù)庫，添加 Directory Assistance 配置文檔，一個 Domino 服務(wù)器可以使用 Domino Directory Assistance 數(shù)據(jù)庫當(dāng)中的多個配置文檔同時連接多個外部目錄。

在 Directory Assistance 配置文檔的“Basics”選項附簽上，“Domain type”項選擇“LDAP”（參考圖 8）。

圖 8. 配置 Directory Assistance 文檔“Basic”附簽

“Naming Contexts(Rules)”選項附簽上，由于在 Active Directory 中注冊的用戶的專有名稱與 Notes 命名約定不一致，所以需要使用全星號規(guī)則來表示這些用戶的專有名稱，為該規(guī)則選擇“Trusted for Credentials”是啟用了按證書信任，以便使用 Active Directory 中的用戶項進(jìn)行 Internet 客戶機(jī)驗證（參考圖 9）。

圖 9. 配置 DA 文檔“命名上下文”附簽

在“LDAP”附簽設(shè)置上需要配置遠(yuǎn)程 Active Directory 的“Hostname”、“ Port”、“Optional Authentication Credential”以及“Base DN for search”等參數(shù)（參考圖 10）。在配置的過程當(dāng)中可以使用每項配置參數(shù)對應(yīng)的“Suggest”或“Verify”等按鈕幫助更好的進(jìn)行設(shè)置，這是 Domino 8.0 當(dāng)中提供的新功能。

圖 10. 配置 DA 文檔“LDAP”附簽

設(shè)置完成后保存文檔并關(guān)閉。要使創(chuàng)建好的 Directory Assistance 數(shù)據(jù)庫設(shè)置生效，需要將其添加到 Domino 服務(wù)器文檔當(dāng)中。從 Domino Administrator 客戶端打開 Domino 服務(wù)器，單擊“Configuration”附簽；在左側(cè)窗格中的 Server > All Server Documents 列表當(dāng)中選擇特定的服務(wù)器文檔，然后單擊“Edit Server”；在“Basics”附簽“Directory Information”區(qū)段的“Directory assistance database name”域中，輸入創(chuàng)建好的 Directory Assistance 數(shù)據(jù)庫文件名，例如 da.nsf（參考圖 11），在對修改的 Domino 服務(wù)器文檔進(jìn)行保存后需要重新啟動 Domino 服務(wù)器以使其生效。

圖 11. 在服務(wù)器文檔中設(shè)置 Directory Assistance 數(shù)據(jù)庫

設(shè)置之后，用戶便可以在 Domino 應(yīng)用當(dāng)中輕松的訪問 Active Directory 信息。例如可以從瀏覽器打開一個 Domino 應(yīng)用程序，當(dāng)提示輸入用戶名與密碼時，用戶可以使用自己的 Active Directory 用戶信息進(jìn)行登陸。

Directory Assistance 數(shù)據(jù)庫除了可以用來連接 Active Directory 目錄服務(wù)器外，同樣可以連接其他基于 LDAP 協(xié)議的輕量級目錄服務(wù)器。

方法三：使用 ADSync 集成和同步兩種目錄

方法二的缺點(diǎn)在于需要維護(hù)兩套獨(dú)立的目錄服務(wù)，結(jié)果可能是每個用戶都需要在兩個目錄服務(wù)器當(dāng)中擁有不同的用戶名和密碼，而且用戶需要在不同的應(yīng)用程序之間交替使用它們，增加了用戶使用的復(fù)雜度。每當(dāng)有新用戶加入，管理員都需要在兩個目錄當(dāng)中分別進(jìn)行注冊，同樣當(dāng)用戶注銷時也需要在兩個目錄當(dāng)中分別進(jìn)行刪除，增加了管理員的工作量。Lotus Domino Active Directory Synchronization(ADSync) 適當(dāng)?shù)慕鉀Q了這一問題，它可以實(shí)現(xiàn)兩套目錄當(dāng)中信息的同步，在降低了管理員管理成本的同時也提高了用戶體驗。ADSync 是隨 Domino Administrator 客戶端提供的，因為不是默認(rèn)安裝組件，需要用戶在安裝過程當(dāng)中選擇 Domino Directory W2000 Sync Service 選項進(jìn)行安裝 ( 參考圖 12)。

圖 12. 在安裝 Domino Administrator 時選擇安裝 Domino Directory W2000 Sync Service

ADSync 的操作并不復(fù)雜，安裝配置完畢后從開始菜單中打開“Active Directory Users and Computers”，雙擊“Domino Directory Synchronization”對象來啟動 ADSync 工具。提示輸入管理員密碼后會出現(xiàn)對話框確認(rèn)啟動成功。此時，管理員通過 ADSync 來保持 Domino Directory 和 Active Directory 用戶和組的同步。完成初始化后，“Lotus ADSync Options”對話框?qū)⒋蜷_（參考圖 13），管理員可以通過以下選項進(jìn)行設(shè)置：

• Notes Synchronization Options 附簽：可以使用該附簽來選擇啟動同步選項。
• Notes Settings 附簽：可以設(shè)置執(zhí)行同步操作的 Domino 服務(wù)器，包括管理員 ID、刪除用戶設(shè)置、默認(rèn)的認(rèn)證名稱以及 Domino 組的策略等信息。
• Field Mappings 附簽：將 Active Directory 字段映射到 Domino Directory 字段。
• Container Mappings 附簽：使用該附簽將 Active Directory 容器映射到特定的 Domino 認(rèn)證和策略。
• Group Mappings 附簽：使用該附簽將 Active Directory 組類型映射到 Domino 組類型策略。

圖 13. Lotus ADSync 選項對話框

通過右擊 Domino Directory synchronization 可以方便地啟用或禁用同步（參考圖 14）。

圖 14. 啟動或禁用同步

Domino Directory synchronization 正確啟用后，便可以進(jìn)行 Active Directory 和 Domino Directory 的同步操作。使用 Adsync 時必須明確，哪些操作可以由 Domino 客戶端執(zhí)行，哪些操作可以由 Active Directory 執(zhí)行。

1、使用 Domino 客戶端

Domino 客戶端可以執(zhí)行注冊用戶、刪除用戶、刪除組，重命名用戶等操作。以注冊用戶為例，操作如下：

Domino Administrator 客戶端進(jìn)入注冊用戶界面 , 選中“Advanced”選項，單擊“Other”附簽，點(diǎn)擊“Windows User Options”按鈕進(jìn)入“Add Person to Windows”對話框（參考圖 15），在這里可以進(jìn)行詳細(xì)的 Active Directory 信息設(shè)置，如完整名稱、登錄名稱、所屬組名稱以及所屬容器名稱等。

圖 15. 從 Domino 添加用戶并同步到 Active Directory

2、使用 Active Directory

Active Directory 可執(zhí)行的操作有：注冊用戶、刪除用戶、重命名用戶、同步用戶和組數(shù)據(jù)、創(chuàng)建組、刪除組、重命名組等操作。以注冊用戶為例，操作如下：

從“開始”菜單選擇“Administrative Tools –>Active Directory Users and Computers”，對 ADSync 進(jìn)行初始化和設(shè)置后，在添加 Active Directory 對象時會出現(xiàn)“Domino Directory”選項。在“New Object”對話框中選擇“Register in Domino Directory”，并指定各個字段的信息，完成后，新對象將被同時創(chuàng)建在 Domino Directory 中（參考圖 16）。

圖 16. 設(shè)置從 Active Directory 添加用戶并同步到 Domino

小結(jié)

以上上種方法進(jìn)行比較，方法一比較適合于對原有 Active Directory 服務(wù)依賴性不是很強(qiáng)的環(huán)境，遷移之后只需要維護(hù) Domino Directory，遷移后的管理工作最簡單，工作量也最小，此方法同樣也適用于從 Active Directory 之外的其他 LDAP 服務(wù)器向 Domino Directory 的遷移。第二種方法需要維護(hù)兩套地址本，但保證了新舊應(yīng)用系統(tǒng)的共存，在 Domino 應(yīng)用中可以輕松訪問 Active Directory 目錄信息，此方法同樣適用于其他 LDAP 服務(wù)器與 Domino 目錄服務(wù)的集成。第三種方法仍然需要維護(hù)兩套地址本，但由于 ADSync 提供的同步功能，使得這種維護(hù)更為簡單。