Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发

Domino9.0.1FP3下LDAP和Kerbors详细配置及证书申请和颁发介绍

说起Domino，大家都不陌生，我们也知道Domino的最新版本是Domino9.0.1FP3；具体的功能更新我就不介绍了，主要沿用上一篇文章介绍的，为了给测试项目搭建一个测试环境。今天domino主要介绍如何在Domino9.01FP3下配置LDAP的匿名、SSL、kerkbors功能，这里不演示Domino的具体安装。可以在前面的文章里说说具体 *** 作，以供参考。与证书相关的主要问题，在notes9.0.1中，您需要安装notesFP3IF3，然后才能合并证书，因为domino，即notes版本，具有SHA2证书格式。所以我们的使用环境版本是Domino9.0.1FP3+NotesFP3IF3(证书合并的最低版本要求)。

首先，我们需要打开Domino服务自带的LDAP匿名访问；我们将跳过安装。如有其他要求，请参考我文章中domino类的相关文档。我们打开服务器文档。

服务器-编辑-端口-互联网端口-目录

开放匿名访问

这样就成功启动了Domino下对LDAP服务的匿名访问。下一步是在domino下配置web的LDAP和SSL功能。说到SSL，我们都知道我们需要一个证书，所以接下来我们将为domino申请一个证书。因为是测试环境，所以我们需要在内部环境中使用windows下构建的CA服务器为Domino颁发证书。

右键单击domino控制台，打开系统附带的certsrv.nsf。

创建钥匙圈

输入密钥证书路径、密码和密钥大小，然后下到菜单填写证书信息。

俗名:多米诺服务器公司的FQDN·mail.test.com

组织域

组织领域

。。。。。。。。

同时开始创建证书。

创建钥匙圈

其次，创建认证请求

确认信息后，直接创建证书申请。

填写步骤1中定义的证书密码。

注意:复制证书内容并保存，然后在winsdowsCA上申请证书。

复制证书文件

-开始新证书申请-

miicrdccaazqcaqawzzelmakga1uebhmcy24xedaobgnvbagtb2jlawppbmcxedao

bgnvbactb2jlawppbbmcxdtalbgnvbaotbhrlc3qxdalbgnvbastbhrlc3qfjau

bgnvbamtdw1hawwudgvzdc5JB20wggeima0gcsqgsib3dqebaquaa4ibdwawggek

aoibaqc9oxruw0kevf1qdtpoz5ca0a9d/hixwwgkrgjjxji56yx2wudt7k/BPm1L

ff7h4pyuudnzpym97goxrkr2popsntvdnnu+3fqql5vkjzooar0kcuzxi0hncz0k

qmy1ca1w5j4isgsx3zctgp01wnyscdfjermphery/quoywpojxajhmk2c8klk55l

xmwxg5iomiogognzsutjdk1agh+wts7u4f35+ywwrrp73/Y5D+XG0crtad/5ndol

wal7vwke9ml9tgwbuukwokildmbvp72cgkkiuoymipfyegwaicwioiy+8ylavm6

wtztqxbq4eyhvyhjuiru+W7+ht57agmbaaggadanbgkqhkig9w0baqqfaaocaqea

obpv3xpwaudum9tnjkw8izsau+gHMmyth+73napzojqxbe6mzripkq1hetjtqie

9csjwtdhowagqvkltepuokzcrfwe8xl9tx1h+qtukvyzaasjmaff4vdhkfx4mvcf

rjucjsymtsdedn9o37kqvpekpx4vffmarqoew0l7jyhszxlx8hhsl3obodubpf7

e6thqk8akuqiif+tv1k08ywuoyr5satp2o2JM5qbuwhi1H2vktiuaf/oxy5ia2a

+zQ/ek7opslujc5un7mz2n69w1jtab56g7/1gedt7eyhkynx8T2kyurkbmvcowqq

q9VPX7B0gsRrSwf9J0ovQQ==

-结束新证书申请-

我们需要通过上述证书文件在windowsca上申请证书。

使用base64编码提交应用程序。

粘贴证书文件的内容并提交。

提交后，您需要下载证书链，而不是证书。

然后我们需要双击下载的证书链来打开它。选择根证书后，右键单击将其导出。

因为我们需要通过txt文本打开证书，所以我们需要选择base64(x509)导出类型

确认信息后，导出。

导出CA后，我们必须返回domino的certsrv.nsf数据库 *** 作，并执行第三步来合并CA证书。

首先我们打开刚刚通过txt导出的CA根证书，然后复制证书代码。

复制CA和证书代码后，运行certsrv.nsf的第三步——将可信根证书安装到密匙环中

将复制的内容代码和证书粘贴到剪贴板框中。

输入证书自定义密码。

完成合并(注意:如果合并失败，证书不匹配，原因是notes版本太低。ibm官网解释，notes客户端需要domino9.0.1FP3IF3补丁安装合并证书，因为新版本只支持证书类型sha2)

接下来，完成最后一步，将domino证书安装到密钥文件中。同样，我们需要通过txt文本打开证书链导出的邮件证书，然后复制证书文件的内容；我们需要从证书链中导出邮件证书。

也选择base64编码。

选择要导出的路径和名称。

然后我们通过txt打开刚刚导出的邮件证书文件，然后复制内容。

复制证书内容后，打开certsrv。nsf数据库执行最后一步，将证书安装到密匙环中。

将复制的证书文件的内容粘贴到剪贴板框中。

输入证书密码。

确认

导入完成。

当这个证书申请 *** 作完成后，我们来看看生成的证书文件。

最后，不要忘记修改服务器配置，指定证书路径，并在修改后重新启动domino服务。

再次测试证书是否有效。

最后，我们必须打开LDAP的SSL配置。

最后，我们将介绍Domino下的kerbors配置。

首先，我们需要在windows中本地创建一个用户，然后在domainadmins中加入这个用户，最后使用这个帐户作为domino服务器的启动用户。

设置完post-user后，我们需要使用新创建的sysadmin帐户作为domino服务器的启动帐户。

然后通过setspn–ahttp/mail.test.comsysadmin注册代理服务器(默认会自动创建)。

使用setspn-lsysadmin

可以查看Setspn-l邮件。

s

然后我们需要配置SSO，并单击服务器文档——创建websso配置。

定义SSO配置

定义之后，我们创建domino-sso-key。

Domino下的SSO配置完成后，我们修改服务器文档配置。

同时，我们需要通过本地da.ntf模板创建一个AD关联数据库。

该属性由windows属性定义。

然后我们需要修改服务器文档配置来加载ad数据库。

配置完成后，我们需要在notes.ini中添加调试参数以获得测试结果，并且我们需要服务器配置文档。

注意:在整个过程中，我们设置domino的用户策略。

因为是kerbors，所以在下面的用户认证中，用户使用的密码是AD中的用户密码，而不是domino密码。

着陆成功

我们可以通过控制台看到用户认证的所有过程。