Bei der Verwendung der weiteren Lotus-Produkte, die auch als Extended Products bezeichnet werden, gibt es verschiedene Ansätze für die Verwendung von Verzeichnisdiensten und damit auch die Authentifizierung. Die drei wichtigsten Varianten sind:
-
Die Verwendung des Domino Directory auch für diese Produkte.
-
Die Verwendung des Domino Directory, wobei der Zugriff aber über den LDAP-Dienst erfolgt.
-
Die Verwendung eines externen LDAP-Verzeichnisses wie des IBM Tivoli Directory Server, des Microsoft Active Directory oder des Novell eDirectory.
Domino Directory
In der einfachsten Konfiguration können erweiterte Produkte wie der Lotus Team Workplace, Lotus Sametime und der Domino Document Manager auf ein Domino Directory zugreifen. Der Lotus Team Workplace unterstützt allerdings nur LDAP-Zugriffe, so dass der LDAP-Dienst in diesem Fall zwingend auf zumindest einem Server mit dem Domino Directory ausgeführt werden muss.
Für die Ausgestaltung gibt es in diesem Szenario wiederum mehrere Möglichkeiten. Falls sich alle Systeme innerhalb der gleichen Domäne befinden, kann das Domino Directory jeweils lokal ausgeführt werden. Änderungen werden über die Replikationsmechanismen zwischen den verschiedenen Instanzen verteilt. Nur für Team Workplace wird ein LDAP-Dienst benötigt, der von einem zentralen Domino Directory bereitgestellt werden kann (Bild 1).
Falls die verschiedenen Systeme nicht alle innerhalb einer Domäne sind, kann ein zentraler Domino Directory-Server konfiguriert werden. Außerdem lässt sich auch die Directory Assistance einsetzen, um Informationen verschiedenen Instanzen des Domino Directory zu integrieren.
Da mit LDAP-Zugriffen gearbeitet wird, ist auch überlegenswert, in der Domino Directory- Infrastruktur einen primären Directory-Server zu verwenden, während auf anderen Systemen wie dem Mailserver nur ein Konfigurationsverzeichnis liegt. Der oder die primären Directory-Server fungieren als dedizierte LDAP-Server und können auf die zu erwartende höhere Last hin optimiert werden.
Domino Directory und LDAP
Die zweite Option ist die konsequente Nutzung von LDAP, wobei aber das Domino Directory als LDAP-Dienst zum Einsatz kommt. Das ist vor allem in den Situationen interessant, in denen mehrere Domänen genutzt werden und daher ohnehin die Directory Assistance genutzt werden soll, oder in denen mit Standard-Mail-Clients und LDAP gearbeitet wird.
Typischerweise wird es aber selten eine Reinform der beiden ersten Ansätze geben, sondern Mischformen, bei denen LDAP-Zugriffe für einige der Systeme verwendet werden, während bei den anderen Lösungen direkt über das Domino Directory gearbeitet wird.
Externer LDAP-Verzeichnisdienst
Falls externe Verzeichnisdienste genutzt werden sollen, gibt es zwei Optionen. Es kann zum einen auch hier mit LDAP-Zugriffen gearbeitet werden. Zum anderen lässt sich – letztlich auch über LDAP – die Directory Assistance nutzen. Den ersten Ansatz wird man für die Produkte wie den Team Workplace einsetzen, die LDAP direkt unterstützen, für Domino Mail-Server dagegen die Directory Assistance – wobei die Ausgestaltung immer auch davon abhängt, ob auf einen oder mehrere LDAP-Systeme zugegriffen werden muss.
Bei Sametime ist die Konfiguration solcher Lösungen besonders komplex, weil das Produkt mehrere Ebenen der Authentifizierung für unterschiedliche Clients unterstützt. Daher müssen Änderungen wie die Einrichtung eines externen LDAP-Servers auch an mehreren Stellen durchgeführt werden.
Bei Lotus Team Workplace – ehemals Quick- Place – ist das etwas einfacher. Das Produkt arbeitet ohnehin gegen LDAP-Verzeichnisdienste, so dass die Konfiguration entsprechend einfach modifiziert werden kann.
Der Domino Document Manager wiederum ist als eng mit Domino integriertes Produkt auf die Verwendung der Directory Assistance angewiesen, um die Authentifizierungsanforderungen an externe LDAP-Server weiterzuleiten.
LTPA und erweiterte Produkte
Bei der Authentifizierung von Zugriffen spielt wieder einmal LTPA eine wichtige Rolle. Der Mechanismus wird nicht nur bei Lotus Domino, sondern auch bei Team Workplace und Sametime unterstützt. Bei Sametime und dem Team Workplace erfolgt der Zugriff über LDAP, so dass hier nur sichergestellt werden muss, dass der Wert für den Benutzernamen im LTPA-Token korrekt ist.
Welcher Ansatz auch gewählt wird: Mit den Bordmitteln und Standardfunktionen von Lotus Domino und den erweiterten Produkten lässt sich ein Single Sign-On sowohl gegen das Domino Directory als auch gegen andere LDAP-Verzeichnisse realisieren. Die konkrete Umsetzung wird in eine der folgenden Ausgaben von Expert’s inside Lotus Notes/Domino detailliert behandelt.