Dokumentenmanagement ist oft ein Problem, das auf unternehmensweiter Basis gelöst wird. Wenn nicht flächendeckend mit Lotus Domino gearbeitet wird, sind auch nicht zwingend alle Benutzer im Domino Directory enthalten. Das lässt sich zwar auch auf dieser Ebene lösen, genauso gibt es aber die Anforderung, dass Benutzer, die in anderen Verzeichnissen angelegt sind, ebenfalls mit Domino.doc arbeiten können. Immerhin stehen genug Frontend-Werkzeuge bis hin zur Office-Integration zur Verfügung, die als Schnittstellen genutzt werden können.
Directory Assistance
Der erste Schritt bei der Einrichtung der LDAP-Integration hat noch nichts mit dem Domino Document Manager zu tun. Zunächst muss die Directory Assistance-Datenbank so konfiguriert werden, dass es zumindest einen Verweis auf einen LDAP-Server gibt. Dazu muss auf dem Server bei den erweiterten Vorlagen die Vorlage Directory Assistance (7) ausgewählt werden, also da50.ntf. Darin muss im nächsten Schritt zumindest ein Dokument angelegt werden, das auf ein anderes LDAP-Verzeichnis verweist. Bei der Einrichtung einer Directory Assistance im Register Basics als Domain type muss deshalb der Wert LDAP ausgewählt werden. Außerdem sind die weiteren erforderlichen Felder wie der Domänenname auszufüllen.
Die wichtigeren Einstellungen finden sich aber im Register LDAP (Bild unten). Dort müssen Informationen wie der Hostname, die Anmeldeinformationen – die übrigens im Klartext angezeigt werden, was aus Sicherheitsgründen höchst problematisch ist – und die Base DN für die Suche festgelegt werden. Die Base DN, also der base distinguished name, gibt an, wo nach Konten gesucht wird. Es handelt sich um einen Namen in LDAP-Notation, der beispielsweise auf eine OU oder auf den Standardcontainer users innerhalb einer Active Directory-Domäne verweisen kann. Damit kann die Suche innerhalb des gewählten Verzeichnisdienstes bereits eingeschränkt werden.
Neben dieser grundlegenden Konfiguration ist es noch zwingend erforderlich, die Directory Assistance-Datenbank auf die verschiedenen Server zu kopieren und dort zu aktivieren. Die Aktivierung erfolgt im Bereich Configuration des Domino Directory und dort nach Auswahl von Server/All Server Documents über den Befehl Actions/Set Directory Assistance Information. Im angezeigten Dialogfeld ist der Name der zu verwendenden Directory Assistance-Datenbank anzugeben. AdminP muss dazu ausgeführt werden.
Nach diesem Konfigurationsschritt und der Verarbeitung durch Adminp, die mit
tell admimp process interval
beschleunigt werden kann, ist ein Neustart des oder der Server erforderlich, damit das Domino Directory erkennt, dass es nun mit der Directory Assistance arbeiten soll. Erst danach kann die Konfiguration von LDAP beim Domino Document Manager durchgeführt werden.
Einrichten beim Erstellen einer Bibliothek
Bei der Erstellung einer Bibliothek findet man beim zweiten Bildschirm Document Manager Master Library Creation die Option LDAP Integration. Wird sie ausgewählt, werden einige zusätzliche Eingabefelder angezeigt. Über die Schaltfläche darunter, Retrieve LDAP Settings, können die aktuellen Parameter des in der Directory Assistance-Datenbank konfigurierten LDAP-Servers ausgelesen werden. Alle bis auf die beiden gelb markierten Felder werden dadurch mit Inhalt gefüllt.
Übernommen werden unter anderem der Hostname, die Authentifizierungsinformationen, die Base DN für die Suche und die Portnummer. Die Daten werden aus dem Konfigurationsdokument innerhalb der Directory Assistance-Datenbank gelesen.
In den beiden übrigen Feldern müssen Daten manuell angegeben werden. Welche Informationen verwendet werden, hängt vom verwendeten Verzeichnisdienst ab. Für die Gruppe gelten folgende Festlegungen:
-
Active Directory: group
-
Domino: dominogroup
-
Sun: groupofuniquenames
-
SecureWay: groupofuniquenames
Für das Attribut, mit dem die Mitglieder von Gruppen identifiziert werden, gelten die folgenden Festlegungen:
-
Active Directory: member
-
Domino: member
-
Sun: uniquemember
-
SecureWay: uniquemember
An dieser Auflistung wird bereits deutlich, dass die LDAP-Integration nur für vier Verzeichnisdienste unterstützt wird, eben Active Directory, Domino Directory, Sun Directory Server (und verwandte Produkte) und IBM SecureWay Directory Server. Es spricht aber einiges dafür, dass andere LDAP-Standardverzeichnisdienste, die das gleiche Basisschema wie der Sun Directory Server verwenden, ebenfalls genutzt werden können.
Einrichten durch Ändern einer Bibliothek
Um eine Bibliothek des Domino Document Manager so zu modifizieren, dass mit der LDAP-Integration gearbeitet wird, sind zunächst die gleichen Voraussetzungen bezüglich der Directory Assistance-Datenbank zu schaffen.
Anschließend kann die Bibliothek geöffnet werden. Über Library Administration und dort System Profile wird die LDAP-Integration aktiviert, indem dort Enable LDAP Integration ausgewählt wird. Damit ist allerdings erst der erste Schritt gemacht. Bei Replikation muss nun noch die Master-Replik ausgewählt werden. Im dort angezeigten Dokument lassen sich die Änderungen durchführen, wobei wieder mit Retrieve LDAP Settings begonnen wird und anschließend die Objektklasse für Gruppen und das Attribut für Gruppenmitglieder eingegeben werden.
Modifizieren der Einstellungen
In diesem Bereich können die Einstellungen zur LDAP-Integration bei bereits konfigurierten Bibliotheken auch modifiziert werden. Hier lassen sich alle Parameter bis auf den Hostnamen setzen, die auch bei der Einrichtung dieser Schnittstelle verwendet wurden.
Weitere Anforderungen
Neben den genannten Punkten sind noch einige weitere Aspekte zu beachten. Wichtig ist zunächst, dass die Personen, die LDAP-Benutzer einladen können, auch eine Referenz auf das LDAP-Verzeichnis in ihrem Adressbuch haben, um auf die entsprechenden Informationen zurückgreifen zu können.
Außerdem gibt es Restriktionen bezüglich der verfügbaren Funktionalität. LDAP-Benutzer können nur über HTTP zugreifen, aber nicht mit dem Notes-Client arbeiten. Entsprechend können sie auch keine administrativen Aufgaben durchführen, die nur über den Notes-Client durchführbar sind.