Im letzten Teil haben wir eine Datenbank für Verzeichnisverwaltung (Directory Assistance) und ein Verbindungsdokument vom Typ »LDAP« für die Verzeichnissynchronisierung (Directory Synchronization) mit dem Active Directory erstellt. Nun wollen wir die Verzeichnissynchronisation selbst konfigurieren.
2. Konfiguration der Verzeichnissynchronisierung
1. Wechseln Sie im Domino-Administrator zur Registerseite Konfiguration und wählen Sie links im Navigator den Bereich Verzeichnis > Verzeichniskonfiguration.
2. Klicken Sie auf die Schaltfläche Verzeichniskonfiguration hinzufügen. Die Maske Konfiguration der Verzeichniskonfiguration wird angezeigt (siehe Abbildung 1)
3. Wählen Sie im Feld Domäne der Verzeichnisverwaltung das Dokument aus der Datenbank für Verzeichnisverwaltung aus, das wir im ersten Teil erstellt haben (in unserem Beispiel »COB AD«). Sollte das Dokument in der Liste nicht angeboten werden, überprüfen Sie wie im ersten Teil beschrieben, ob die Datenbank für Verzeichnisverwaltung richtig eingebunden wurde. Sollte es sich beim aktuellen Server nicht um den Administrationsserver des Domino-Verzeichnisses handeln, achten Sie außerdem darauf, die Datenbank auf diesem zu replizieren.
4. Wählen Sie im Feld Alle Active Directory-Benutzer synchronisieren die Option »Nein«, wenn nur vorhandene Benutzer synchronisiert werden sollen. Wählen Sie die Option »Ja«, werden auch Benutzer und Gruppen in das Domino-Verzeichnis übertragen, die dort fehlen.
5. Geben Sie im Feld Domino-Verzeichnisname den Namen des Verzeichnisses an, mit dem das Axtive Directory synchronisiert werden soll. Geben Sie ein anderes Verzeichnis an, als das Domino-Verzeichnis (names.nsf), erhalten Benutzer keine Notes-Namen (DN), sondern heißen z. B. »Christian Buchacher«. Auch in Gruppen werden die Namen dann nicht in Notes-Namen aufgelöst (z. B. »Christian Buchacher/COB/AT«), sondern behalten die LDAP-Syntax (z. B. »CN=Christian Buchacher/OU=COB_Users/DC=COB/DC=local«).
6. Wählen Sie im Feld Registrierten Domino-Benutzer bei Active Directory-Umbenennung umbenennen zunächst »Nein«. Diese Möglichkeit wird erst im Teil 3 dieses Workshops behandelt werden.
Abbildung 1: Maske Konfiguration der Verzeichniskonfiguration, Register Allgemein
7. Wechseln Sie zur Registerseite Synchronisation (siehe Abbildung 2).
8. Per Vorgabe wird das Feld uid im Active Directory dem Kurzname im Domino-Verzeichnis zugeordnet, um einen Benutzer eindeutig zu identifizieren. Achten sie daher darauf, dass die Felder in beiden Verzeichnissen ausgefüllt und eindeutig sind! Wolle Sie zum Mappen ein anderes Feld im AD verwenden, geben Sie es im Feld Feld, das Kurzname zugeordnet werden soll an.
9. Geben Sie im Bereich LDAP-Filter an, welche Objekte bzw. Untergruppen synchronisiert werden sollen. Wollen Sie alle Personen und Gruppen synchronisieren, geben Sie hier die folgende Zeichenfolge ein:
(|(objectClass=Group)(objectClass=Person))
Wollen Sie hingegen nur Gruppen synchronisieren, dann:
(|(objectClass=Group))
(Um Gruppen zu synchronisieren, müssen Sie zusätzlich auch die Häkchen im Bereich LDAP-Gruppen setzen.)
Wollen Sie nur bestimmte Personengruppen synchronisieren, etwa nur jene aus der Abteilung HR, geben Sie die folgende Zeichenfolge ein:
(objectClass=Person))(&(department=HR)))
10. Geben Sie an, ob auch Sicherheitsgruppen und Distributionsgruppen aus dem AD synchronisiert werden sollen.
11. Speichern und schließen Sie das Dokument.
Abbildung 2: Maske Konfiguration der Verzeichniskonfiguration, Register Synchronisation
12. Starten Sie den Servertask Dirsync bzw. sorgen Sie auch gleich dafür, dass dieser Task beim Serverstart automatisch geladen wird (entweder durch Hinzufügen zur Variable Servertasks= in der Datei notes.ini oder durch Erstellen eines Programmdokuments vom Typ »Nur bei Serverstart«).
13. Aktivieren Sie die Verzeichnissynchronisation, indem Sie in der Ansicht auf die Schaltfläche Aktivieren klicken
Wie Sie die Synchronisation im Detail steuern, erfahren Sie im Artikel Domino-Verzeichnissynchronisation – 3. Teil.