LTPA und Directory Assistance

Mit den neuen User Name Mapping-Funktionen für LTPA in Domino 7 lassen sich einfacher Single Sign-On-Lösungen mit Domino und WebSphere realisieren. In diesem Kontext spielt die Directory Assistance eine wichtige Rolle. Zwei mögliche Szenarien werden im vorliegenden Beitrag vorgestellt.

Im zweiten Artikel dieses Hefts wurde bereits die Verwendung von LTPA (Lightweight Third Party Authentication) angesprochen. Der einfachste Ansatz ist die Verwendung des Domino Directory auch vom IBM WebSphere Application Server aus. Da sich das aber nicht immer so machen lässt, kann es auch erforderlich werden, über die Directory Assistance von Domino auf andere Verzeichnisdienste zuzugreifen. Die Vorgehensweise für die Konfiguration und die Arbeitsweise von Lotus Domino in dieser Konstellation werden in diesem Artikel näher beschrieben.

Die Ausgangssituation

In den meisten größeren Unternehmen gibt es mehrere Verzeichnisdienste, die parallel zueinander eingesetzt werden. Das theoretische Ideal der Reduktion auf einen Verzeichnisdienst lässt sich in der Praxis kaum erreichen, da viele Systeme eng mit einem bestimmten Verzeichnisdienst verbunden sind. Das beste Beispiel ist das Domino Directory, das zwingend erforderlich ist, weil viele spezifische Konfigurationsinformationen für die Domino-Infrastruktur darin abgelegt werden. Ähnliches gilt im Windows-Umfeld auch für das Active Directory, in dem beispielsweise die für die Client-Konfiguration fast unverzichtbaren Gruppenrichtlinien gespeichert sind. Insofern ist ein Zusammenspiel mit mehreren Verzeichnisdiensten eher die Regel denn die Ausnahme.

Mit den LTPA-Tokens und deren Speicherung in Cookies auf dem Client ist die Grundlage geschaffen, um auf verschiedene Systeme zugreifen zu können. Wichtig sind dabei die übereinstimmenden Domänennamen der Server, damit das Cookie von den verschiedenen Websites genutzt werden kann – und die LTPA-Unterstützung der Websites, damit diese überhaupt auf das Cookie zugreifen und ihn lesen können.

Sobald mit mehreren Verzeichnissen gearbeitet wird, stellt sich aber die Herausforderung der Benutzernamen. Im LTPA-Token ist ein Benutzername gespeichert. Wenn dieser in den verschiedenen Systemen findet, die mit LTPA arbeiten, nicht auftaucht, kann keine Zuordnung des Cookies zu einem Benutzer und damit keine Autorisierung von Zugriffen erfolgen.

Die Rolle der Directory Assistance

Beim Einsatz der Directory Assistance sind zwei Varianten denkbar. Die erste Variante gilt für ein Szenario, in dem zusätzliche Informationen zu einem auch im Domino Directory vorhandenen Benutzer in einem LDAP-Verzeichnis gespeichert sind. Im Personendokument für diesen Benutzer kann ein zusätzlicher LDAP-DN definiert werden, der für LTPA genutzt wird.

Wenn sich nun ein Benutzer authentifiziert, wird ein DN aus dem LTPA verwendet, um den Benutzer zu lokalisieren. Dieser findet sich nun einerseits im Domino Directory, weil er dort explizit konfiguriert wurde. Den gleichen DN gibt es aber auch im LDAP-Verzeichnis, auf das über die Directory Assistance zugegriffen wird.

Um sicherzustellen, dass es sich um Einträge für den gleichen Benutzer handelt, sind nun noch weitere Konfigurationsschritte erforderlich. In diesem Fall wird ein Vergleich zwischen dem Attribut InternetAddress im Domino Directory und einem über die Directory Assistance zurückgelieferten Attribut durchgeführt. Im Directory Assistance-Dokument kann im Register LDAP bei Preferred Mail format das Rückgabeformat für die Mailadresse festgelegt werden. Außerdem kann ein Attribut angegeben werden, das beispielsweise mail lautet. Dieser Rückgabewert wird mit der Internet-Mail-Adresse verglichen. Wenn diese übereinstimmen, wird davon ausgegangen, dass die Einträge in den beiden Verzeichnissen für den gleichen Benutzer definiert wurden.

Das zweite Szenario geht von einem führenden LDAP-Verzeichnis aus. Im Domino Directory werden keine Modifikationen durchgeführt, um beispielsweise LTPA-Namen in den Personendokumenten anzulegen. Das kann sinnvoll sein, wenn Änderungen in einem zentralen Verzeichnis automatisiert durchgeführt werden und der Aufwand für die Administration des Domino Directory minimiert werden soll.

In solchen Situationen kann im verwendeten LDAP-Verzeichnisdienst, auf den über die Directory Assistance zugegriffen wird, ein zusätzliches Attribut mit dem DN für das Domino Directory erstellt werden. Dieses Attribut kann beispielsweise notesDN heißen und entweder manuell oder automatisch mit Werten gefüllt werden.

Bei der Konfiguration der Directory Assistance muss nun zum einen angegeben werden, dass das LDAP-Verzeichnis für die Authentifizierung verwendet werden darf. Dafür wird bei Naming Contexts (Rules) die Option Trusted for Credentials für den entsprechenden Naming Context (NC) ausgewählt.

Im Register LDAP geben Sie dann bei Attribute to be used as Notes Distinguished Name das spezielle Attribut an, das aus dem LDAP-Verzeichnisdienst angefordert werden soll. Dieser Wert wird mit dem DN bei Domino verglichen.

In beiden Fällen erfolgt also ein Name Mapping bei der Verwendung der Directory Assistance. Welches der Verfahren benötigt wird, hängt von der Konstellation ab. Es geht aber in beiden Situationen darum, dass es einen Benutzer in mehr als einem Verzeichnis gibt und dass sichergestellt werden muss, dass die richtigen Einträge einander zugeordnet werden.