Přepnutí Lotus Sametime na AD

záměna Domino Directory za Active Directory pro Lotus Sametime

Friday, 1. August 2008

dnes se podíváme trochu hlouběji co se týče administrace a správy Lotus Sametime serveru. Konkrétně budeme řešit zprovoznění Active Directory jako adresářové služby pro Lotus Sametime.

Lotus Sametime na LDAP (AD)

Jsou dvě cesty, jak se toto dá konfigurovat, přičemž jedna je jednoduchá. Spočívá ve výběru LDAP při instalaci samotného Lotus Sametime. Pomocí nějaké LDAP utilitky si zjistíme pár údajů, které jsou potřeba pro správné napojení Lotus Sametime na LDAP a pak již frčí vše, tak jak má.

Druhá volba je poněkud obtížnější, pro nás však zajímavá. Budeme se tedy zabívat napojení Lotus Sametime až po instalaci, kdy server je napojen na Domino Directory. S tím je spojeno několik kroků, konkrétně asi 9 .

Předpoklady

Na začátku je dobré říci, že zde nebudu zmiňovat instalaci samotného Lotus Sametime serveru s Dominem. Rovněž předpokládám, že zde není problém s firewallem či ostatními síťovými prvky. Řešení bylo prováděno na serveru Lotus Domino V8, Lotus Sametime V8 a AD Microsoft Windows Server 2003. V Active Directory byl vytvořen bindovací uživatel (právo čtení v plném rozsahu) či s administrátorským oprávněním.

Jedná se o neclusterované prostředí. Ono konfigurace probíhá totožně jako v případě clusterovaného prostředí jen je zde problém s replikací. To znamená, že například databáze Directory Assistance je nutno zreplikovat. Některé kroky se provádí právě na jednou serveru, kde se změny projeví automaticky pomocí replikace i na ostatních serverech (name change task).

Hned na začátek jen uvedu, že budeme napojovat na LDAP bežící na standardním nezabezpečeném portu 389. Nejedná se tedy o přístup do global katalogu AD na portech 3268 či 3269, které jsou někde doporučovány. Zkušenosti jsou takové, že je to bez problémů. Pouze u SSL musíte mít vygenerován certifikát od certifikační autority (Windows Server) a ten podstrčit Dominu jako důvěryhodný.

1) ukončení ST služeb

Zkušenější ví, pro ostatní stačí zadat příkaz tell staddin quit na konzoli serveru. Domino nechte běžet.

2) nastavení Directory Assistance

Vytvoříme databázi (pojmenovanou například da.nsf) z šablony da50.nsf s umístěním ST serveru s názvem "Directory Assistance" pokud již není vytvořena.

3) zprovoznění Directory Assistance

Otevřeme si server dokument a na záložce basic (tuším) přidáme název databáze da.nsf do pole "Directory Assistance database name". Správně by jsme měli restartovat Domino, ale museli by jsme opět ukončovat po naběhnutí ST server, proto restart odložíme. Celá konfigurace jde provést pomocí jednoho restartu.

4) vytvoření Directory Assistance dokumentu

Otevřeme databázi da.nsf, kde vytvoříme nový dokument. Zadáme zde LDAP typ, nějak pojmenujeme doménu (název musí být unikátní) a vyplníme pole s názvem společnosti. Dostupnost zvolíme pro oboje se skupinovou autorizací.

Na druhé záložce vyplníme důvěřování. Třetí záložka se již týká samotného napojení na LDAP. Vyplníme tedy hostname, uživatele, heslo a porty. Důležité pole je Base DN for search. Neboli kořen vyhledávání uživatelů. Timeout necháme na výchozí hodnotě 60 a vybereme typ vyhledávacího filtru, tedy Active Directory. Je výhodou, že si u většiny důležitých polí můžeme ověřit ihned správnost. Soubor uložíme. Po chvilce Domino zjistí změnu, kterou si můžete ověřit pomocí příkazu show xdir na konzoli serveru.

5) vytvoření LDAP dokumentu v konfigurační databázi

LDAP dokument můžeme vytvořit buď z Lotus Notes klienta nebo z webu při konfiguraci. Záleží na vás, jaký postup zvolíte. Mě osobně se líbí Notesy. Takže, otevřeme si databázi stconfig.nsf (z webu dáme administraci ST serveru) a vytvoříme zde dokument dle formuláře LDAPServer. Hned na začátku vyplníme hostname LDAP serveru spolu s uživatelem (hierarchický tvar) a jeho heslem.

LDAP server dokument

Nastavíme odpovídající hodnoty báze rekurzivního vyhledávání. Pro vyhledávací filtr nastaven pro Active Directory přidáme (legacyExchangeDN=%s) sloužící k rozeznání interních Exchange e-mail adres. Celý tvar vyhledávacího filtru pro rozeznání osoby je (&(objectclass=organizationalPerson)(|(cn=%s*)(givenname=%s*)(sn=%s*)
(legacyExchangeDN=%s)(mail=%s*))).

Odpovídajícím způsobem zvolíteme vyhledávající filtr pro rozeznání uživatelského jména od plnohodnotného jména uživatele (distinguished name). Nezapomeňte rovněž vyplnit GroupMemberShip, která odpovídá objektové třídě groupofnames.

6) kopírování (přepisování) souborů

Dalším krokem je přepsat několik souborů v adresáři Lotus/Domino, které získáme ze složky Lotus/Domino/Directory BB/Ldap.

7) name change tasks

Tato úloha víceméně není až tak důležitá. Respektive krok popisuje změnu uživatelských a privátních listů. Jednoduše řečeno, task změní jména uživatelů, které jsou uvedeny v uživatelských a soukromých listech. Bez proběhnutí tasku se budou uživatelé v kontakt listu jevit jako offline. Takže buď uživatelům nabídneme komfort, kdy musíme udělat pár kroků navíc a nebo kontakt listy vymažeme (databáze VpUserInfo.nsf) a každý si je sám obnoví. Tento krok tedy nechám na vás. Zkoušel jsem ho, ale nic moc . Podrobný návod najdete v infocentru.

8) úprava sametime.ini souboru

Nyní upravíme a přidáme některé řádky v souboru sametime.ini, který naleznete ve stejné složce jako notes.ini, tedy Lotus/Domino :) Před úpravou je lepší ukončit ST Policy služby, pokud běží. Nejprve tedy zaměníme com.ibm.sametime.policy.directorybb.ldap.DirLdapBlackBox  za com.ibm.sametime.policy.directorybb.notes.DirNotesBlackBox u parametru POLICY_DIRECTORY_BB_IMPL a poté přidáme dva řádky:

[Directory]
ST_DB_LDAP_ALLOW_SEARCH_ON_DN=1

Soubor uložíme.

9) konfigurace UserInfo servletu

najdeme soubor UserInfoConfig.xml a změníme veškerý obsah tímto:

<UserInformation>
<ReadStConfigUpdates value="true"/>
<Resources>
<Storage type="LDAP">
<StorageDetails  HostName="hera.haifa.ibm.com" Port="389"  UserName=""
Password="" SslEnabled="false"  SslPort="636" BaseDN=""  Scope="2"
SearchFilter="
(&amp;(objectclass=organizationalPerson)(|(cn=%s)(givenname=%s)(sn=%s)
(mail=%s)))"/>
<!-- Add another StorageDetails tag to support another ldap server.
The listing order implies the searching order -->
 <!-- Scope: 0=OBJECT_SCOPE 1=ONELEVEL_SCOPE 2=SUBTREE_SCOPE-->
<SslProperties KeyStorePath=""  KeyStorePassword=""/>
<Details>
     <Detail Id="MailAddress" FieldName="mail" Type="text/plain"/>
      <Detail Id="Name"  FieldName="cn" Type="text/plain"/>
      <Detail Id="Title"  FieldName="title" Type="text/plain"/>
      <Detail Id="Location"  FieldName="postalAddress" Type="text/plain"/>
      <Detail Id="Telephone"  FieldName="telephoneNumber" Type="text/plain"/>
      <Detail Id="Company" FieldName="ou" Type="text/plain"  />
      <Detail Id="Photo" FieldName="jpegPhoto" Type="image/jpeg"  />
</Details>     
</Storage>
</Resources>
<ParamsSets>
<Set SetId="0" params="MailAddress,Name,Title,Location,Telephone,Photo,Company"/>
<Set SetId="1" params="MailAddress,Name,Title,Location,Telephone,Photo,Company"/>
</ParamsSets>
<BlackBoxConfiguration>
<BlackBox  type="LDAP" name="com.ibm.sametime.userinfo.userinfobb.UserInfoLdapBB" 
MaxInstances="5" />
</BlackBoxConfiguration>
</UserInformation>

User Info servlet

Soubor uložíme a restartujeme Domino server a necháme naběhnout i Lotus Sametime. Po plném spuštění si podle svého uvážení nastavení bussiness card. Pro kontrolu správného nastavení můžeme využít url http://<yourSTserver>/servlet/UserInfoServlet/?operation=3&userId=<your sAMAccountName>. Neměli by zde být žádné chyby.

Přihlášení k Lotus Sametime pomocí AD

Nyní by mělo vše fungovat. Přihlašování funguje v obou tvarech i s diakritikou. Zkoušel jsem chat mezi klienty, schůzky, webového klienta i sdílení obrazovky. Doufám, že nebude nikde problém.

 


systém spravován pomocí webmaker.ooo.cz
©2006-2017 Tomáš Hanus | ixulot | ixodesign.cz | RSS