Authentifizierung zwischen Lotus-Produkten

Domino Directory und LDAP

Die zweite Option ist die konsequente Nutzung von LDAP, wobei aber das Domino Directory als LDAP-Dienst zum Einsatz kommt. Das ist vor allem in den Situationen interessant, in denen mehrere Domänen genutzt werden und daher ohnehin die Directory Assistance genutzt werden soll, oder in denen mit Standard-Mail-Clients und LDAP gearbeitet wird.

Typischerweise wird es aber selten eine Reinform der beiden ersten Ansätze geben, sondern Mischformen, bei denen LDAP-Zugriffe für einige der Systeme verwendet werden, während bei den anderen Lösungen direkt über das Domino Directory gearbeitet wird.

Externer LDAP-Verzeichnisdienst

Falls externe Verzeichnisdienste genutzt werden sollen, gibt es zwei Optionen. Es kann zum einen auch hier mit LDAP-Zugriffen gearbeitet werden. Zum anderen lässt sich – letztlich auch über LDAP – die Directory Assistance nutzen. Den ersten Ansatz wird man für die Produkte wie den Team Workplace einsetzen, die LDAP direkt unterstützen, für Domino Mail-Server dagegen die Directory Assistance – wobei die Ausgestaltung immer auch davon abhängt, ob auf einen oder mehrere LDAP-Systeme zugegriffen werden muss.

Bei Sametime ist die Konfiguration solcher Lösungen besonders komplex, weil das Produkt mehrere Ebenen der Authentifizierung für unterschiedliche Clients unterstützt. Daher müssen Änderungen wie die Einrichtung eines externen LDAP-Servers auch an mehreren Stellen durchgeführt werden.

Bei Lotus Team Workplace – ehemals Quick- Place – ist das etwas einfacher. Das Produkt arbeitet ohnehin gegen LDAP-Verzeichnisdienste, so dass die Konfiguration entsprechend einfach modifiziert werden kann.

Der Domino Document Manager wiederum ist als eng mit Domino integriertes Produkt auf die Verwendung der Directory Assistance angewiesen, um die Authentifizierungsanforderungen an externe LDAP-Server weiterzuleiten.

LTPA und erweiterte Produkte

Bei der Authentifizierung von Zugriffen spielt wieder einmal LTPA eine wichtige Rolle. Der Mechanismus wird nicht nur bei Lotus Domino, sondern auch bei Team Workplace und Sametime unterstützt. Bei Sametime und dem Team Workplace erfolgt der Zugriff über LDAP, so dass hier nur sichergestellt werden muss, dass der Wert für den Benutzernamen im LTPA-Token korrekt ist.

Welcher Ansatz auch gewählt wird: Mit den Bordmitteln und Standardfunktionen von Lotus Domino und den erweiterten Produkten lässt sich ein Single Sign-On sowohl gegen das Domino Directory als auch gegen andere LDAP-Verzeichnisse realisieren. Die konkrete Umsetzung wird in eine der folgenden Ausgaben von Expert’s inside Lotus Notes/Domino detailliert behandelt.