Mithilfe der Domino-Verzeichnissynchronisation (Domino Directory Synchronization oder kurz DirSync) können Benutzer und Gruppen aus dem Microsoft Active Directory (AD) mit dem Domino-Verzeichnis abgeglichen werden. Dies ermöglicht es Ihnen, die Benutzer in nur einem Verzeichnis zu warten, alle Änderungen sowie auch neue Benutzer werden automatisch ins andere Verzeichnis übertragen. Da derzeit nur die Synchronisation vom Active Directory in Richtung Domino-Verzeichnis möglich ist, bedeutet das, dass dieses zu Ihren Hauptverzeichnis werden muss. Entsprechend müssen Sie Benutzerneuanlagen und Umbenennungen ab dann zuerst im AD ausführen und diese werden dann ins Domino-Verzeichnis übertragen. Möglich ist ab Version 12 auch der Abgleich des Kennworts, welcher hier aber nicht beschrieben wird.
Das Einrichten der Verzeichnissynchronisation erfolgt in drei Schritten:
- Erstellen eines Verzeichnishilfedokuments für DirSync
- Erstellen eines Konfigurationsdokuments für DirSync
- Starten und Einbinden des Servertasks Dirsync und Aktivieren der Synchronisation
1. Erstellen eines Verzeichnishilfedokuments
1.1 Erstellen der Datenbank »Verzeichnishilfe«
Wenn die Datenbank »Verzeichnishilfe« noch nicht existiert, erstellen sie eine neue. Gehen Sie dazu wie folgt vor:
1. Wählen Sie im Menü des Domino-Administrators den Befehl Datei > Anwendung > Neu… oder drücken Sie [Strg]+[N]. Der Dialog Neue Anwendung wird angezeigt (siehe Abbildung 1).
2. Wählen Sie als Speicherort den gewünschten Server aus.
3. Geben Sie einen beliebigen Titel ein, z. B. »Verzeichnishilfe« oder »Directory Assistance« (die Datenbank gibt es nur auf Englisch).
4. Vergeben Sie einen beliebigen Dateinamen, z. B. »da.nsf«.
5. Wählen Sie als Schablonenserver den Server und setzen Sie ein Häkchen bei Weitere Schablonen anzeigen.
6. Wählen Sie die Schablone »Directory Assistance (12)« (Dateiname: da.ntf) aus der Liste.
Abbildung 1: Dialog Neue Anwendung
7. Klicken Sie auf OK, um die Datenbank zu erstellen.
8. Melden Sie anschließend die neue Verzeichnishilfe im Serverdokument an. Tragen Sie dazu den Dateinamen der Verzeichnishilfe (in unserem Beispiel »da.nsf«) im Serverdokument, Register Allgemein in das Feld Datenbankname für Verzeichnisverwaltung ein:
Abbildung 2: Datenbankname für Verzeichnisverwaltung im Serverdokument
9. Starten Sie danach den Domino-Server neu.
1.2. Erstellen einer Verzeichnishilfe für LDAP
Um die Synchronisation mit dem Activc Directory zu ermöglichen, muss dieses zuerst als LDAP-Verzeichnis eingebunden werden. Gehen Sie dazu wie folgt vor:
1. Öffnen Sie die Verzeichnishilfedatenbank und klicken Sie auf die Schaltfläche Add Directory Assistance. (Die Anwendung ist nur auf Englisch verfügbar.)
2. Die Maske DIRECTORY ASSISTANCE wird angezeigt (siehe Abbildung 3). Wählen Sie im Feld Domain type die Option »LDAP«.
3. Geben Sie im Feld Domain name einen beliebigen Namen für die LDAP-Domäne ein.
4. (Optional) Geben Sie im Feld Company name einen Firmennamen ein. Der Firmenname hat rein informativen Charakter.
5. (Optional) Geben Sie im Feld Search order eine Zahl ein. Das ist nur relevant, wenn Sie mehrere Verzeichnisse via Diretory Assistance einbinden und steuern wollen, in welcher Reihenfolge diese durchsucht werden sollen.
6. Wählen Sie im Feld Make this domain available to »Directory Sync«.
7. Wählen Sie im Feld Group Authorization die Option »No«.
8. Achten Sie darauf, dass im Feld Enabled die Option »Yes« ausgewählt ist (Vorgabe).
Abbildung 3: Die Maske DIRECTORY ASSISTANCE, Register Basics
9. Wechseln Sie zur Registerseite Naming Contexts (Rules) und achten Sie darau, dass zumindest eine Zeile aktiviert ist (Enabled = »Yes«).
10. Wechseln Sie nun zum Register LDAP (siehe Abbildung 4).
11. Geben Sie den Hostnamen des Active-Directory-Servers ein oder klicken Sie auf die Schaltfläche Suggest, um sich den Hostnamen vorschlagen zu lassen. (Die Schaltfläche Suggest funktioniert nur, wenn der Domino-Administrator auf einem Windows-PC läuft, der Mitglied in der Domäne ist.)
12. Wählen Sie im Feld LDAP vendor die Option »Active Directory«.
13. Geben Sie Anmeldedaten ein, mit denen ein Zugriff auf das Active Directory möglich ist. Klicken Sie anschließend auf die Schaltfläche Verify, um zu überprüfen, ob die Anmeldung erfolgreich war. (Die Schaltfläche Verify funktioniert nur, wenn der Domino-Administrator auf einem Windows-PC läuft, der Mitglied in der Domäne ist.)
14. Geben Sie im Feld Base DN for search (DN steht für Distinguished Name) den Speicherort an, unter dem die Benutzer in Ihrem AD abgelegt sind. Wie die Suchbasis genau aussieht, hängt von der Struktur Ihres Active Directorys ab. Sie können auch auf die Schaltfläche Suggest klicken, um sich eine Suchbasis vorschlagen zu lassen.
15. Wählen Sie im Feld Channel encryption die Option »TLS«, wenn die Kommunikation mit dem Server verschlüsselt ablaufen soll. Wenn Sie über kein Zertifikat verfügen, wählen Sie »None«. Bei dieser Auswahl erhalten Sie bei jedem Speichern eine Warnung.
16. Setzen Sie kein Häkchen bei Enable name mapping.
17. Wählen Sie im Feld Type of search filter to use die Option »Active Directory« aus.
Abbildung 4: Die Maske DIRECTORY ASSISTANCE, Register LDAP
18. Speichern und schließen Sie das Dokument.
19. Überprüfen Sie über den folenden Serverkonsolenbefehl, ob die Verbindung richtig konfiguriert wurde:
show xdir(Sie sollten in der Spalte Client Protocoll die Zeichenfolge »SYNC« sehen.)
Wie Sie ein Konfigurationsdokument für die Directory Synchronization einrichten, erfahren Sie im nächsten Artikel Domino-Verzeichnissynchronisation – 2. Teil.