Authentifizierung zwischen Lotus-Produkten

Mit Domino 6.5.1 hat Lotus begonnen, einen einheitlichen Releasezyklus für Domino und die erweiterten Produkte wie Sametime und Quickplace umzusetzen. Beim Einsatz mehrerer dieser Produkte stellt sich immer auch die Frage, wie ein gemeinsames Benutzermanagement und Single Sign-On realisiert werden kann.

Bei der Verwendung der weiteren Lotus-Produkte, die auch als Extended Products bezeichnet werden, gibt es verschiedene Ansätze für die Verwendung von Verzeichnisdiensten und damit auch die Authentifizierung. Die drei wichtigsten Varianten sind:

  • Die Verwendung des Domino Directory auch für diese Produkte.

  • Die Verwendung des Domino Directory, wobei der Zugriff aber über den LDAP-Dienst erfolgt.

  • Die Verwendung eines externen LDAP-Verzeichnisses wie des IBM Tivoli Directory Server, des Microsoft Active Directory oder des Novell eDirectory.

Domino Directory

In der einfachsten Konfiguration können erweiterte Produkte wie der Lotus Team Workplace, Lotus Sametime und der Domino Document Manager auf ein Domino Directory zugreifen. Der Lotus Team Workplace unterstützt allerdings nur LDAP-Zugriffe, so dass der LDAP-Dienst in diesem Fall zwingend auf zumindest einem Server mit dem Domino Directory ausgeführt werden muss.

Für die Ausgestaltung gibt es in diesem Szenario wiederum mehrere Möglichkeiten. Falls sich alle Systeme innerhalb der gleichen Domäne befinden, kann das Domino Directory jeweils lokal ausgeführt werden. Änderungen werden über die Replikationsmechanismen zwischen den verschiedenen Instanzen verteilt. Nur für Team Workplace wird ein LDAP-Dienst benötigt, der von einem zentralen Domino Directory bereitgestellt werden kann (Bild 1).

Bild 1: Eine einfache Architektur für die Verzeichnisdienste für erweiterte Produkte.
Bild 1: Eine einfache Architektur für die Verzeichnisdienste für erweiterte Produkte.

Falls die verschiedenen Systeme nicht alle innerhalb einer Domäne sind, kann ein zentraler Domino Directory-Server konfiguriert werden. Außerdem lässt sich auch die Directory Assistance einsetzen, um Informationen verschiedenen Instanzen des Domino Directory zu integrieren.

Da mit LDAP-Zugriffen gearbeitet wird, ist auch überlegenswert, in der Domino Directory- Infrastruktur einen primären Directory-Server zu verwenden, während auf anderen Systemen wie dem Mailserver nur ein Konfigurationsverzeichnis liegt. Der oder die primären Directory-Server fungieren als dedizierte LDAP-Server und können auf die zu erwartende höhere Last hin optimiert werden.