Domino系统与AD的集成
时间:2007-06-11 来源:clockmaker
Domino系统与AD的集成
在网上找了很久关于Domino与AD的集成解决方案,一直没发现这方面的资料。Domino自带的ADsync工具,用过的人应该有个评价,反正我的要 求它是满足不了的。既然这样只好自己动手丰衣足食了。从Domino入手不好解决问题,那么就换个思路吧,山重水复疑无路,柳暗华明又一村呗。
大家知道Domino是支持Java的(至少从Domino6.0后,支持的比较好了),那么就从Java入手吧。上网搜了一下,发现不少Java集成 AD的范例,而且有详细的说明和程序代码,这可省了我不少工作。我这里再说明一点,Java要与AD集成,AD服务器必须安装有CA服务,还要有一个计算 机证书文件。这方面的问题,我也知道这些,其它,请熟悉AD或者CA的同志能详细解释一下。
那么我们就假设所有的软、硬环境都已经齐备了。从网上当下java程序,然后在Domino服务器上新建测试数据库,咱们就命名adsync.nsf吧。 在adsync.nsf中新建java代理,将java程序并入java代理中(这个工作不用我再解释了吧?),当然也可以用LS2J,不过那是另外一方 面的事了,有兴趣的可以自己研究研究。如果需要咱们也可以单开话题,讨论LS2J的问题。写到这我才发现没有说一个问题,Java要与AD集成需要 JDK1.4以上版本,这样的话Domino6.5可就不行了(哪位高人能解决这个问题?可一定要回啊!)。需要Domino7.0以上版本(还好 Domino7.0的已经发布了而且集成了JDK1.4),如果你的Domino无法升级到Domino7.0,那么也有个解决的笨方法,再安装 Domino7.0的附加服务器,然后两台服务器做SSO,names.nsf相互复制就OK了。好了,现在继续中断的话题,用java的工具 keytool导入验证文件,具体方法:
Java_home\bin\keytool -import -keystore dominoad.keystore -file yourcaroot.cer
Java_home\bin\keytool -import -keystore dominoad.keystore -alias mkey -file yourcomputer.cer
然后将dominoad.keystore拷贝至Domino根目录下.下一步,修改Domino的jvm里的java.policy文件,在grant下添加下面两行:
permission java.util.PropertyPermission "javax.net.ssl.trustStore", "write";
permission java.util.PropertyPermission "javax.net.ssl.trustStorePassword", "write";
这些工作都做好后,重启Domino服务器,运行java代理,最好是在Web上运行。
以上写的很简单,只是大致介绍了一下Domino与AD集成的方法,具体的程序代码网上也有不少,我只是介绍一下我在工作中遇到的问题,如果我的这 些文字能够给那些正处在迷茫中的朋友一个启发那就太好了,当然要是能给人一种拨云见日的感觉,那我真要感激涕零了。热烈欢迎共同讨论!
在网上找了很久关于Domino与AD的集成解决方案,一直没发现这方面的资料。Domino自带的ADsync工具,用过的人应该有个评价,反正我的要 求它是满足不了的。既然这样只好自己动手丰衣足食了。从Domino入手不好解决问题,那么就换个思路吧,山重水复疑无路,柳暗华明又一村呗。
大家知道Domino是支持Java的(至少从Domino6.0后,支持的比较好了),那么就从Java入手吧。上网搜了一下,发现不少Java集成 AD的范例,而且有详细的说明和程序代码,这可省了我不少工作。我这里再说明一点,Java要与AD集成,AD服务器必须安装有CA服务,还要有一个计算 机证书文件。这方面的问题,我也知道这些,其它,请熟悉AD或者CA的同志能详细解释一下。
那么我们就假设所有的软、硬环境都已经齐备了。从网上当下java程序,然后在Domino服务器上新建测试数据库,咱们就命名adsync.nsf吧。 在adsync.nsf中新建java代理,将java程序并入java代理中(这个工作不用我再解释了吧?),当然也可以用LS2J,不过那是另外一方 面的事了,有兴趣的可以自己研究研究。如果需要咱们也可以单开话题,讨论LS2J的问题。写到这我才发现没有说一个问题,Java要与AD集成需要 JDK1.4以上版本,这样的话Domino6.5可就不行了(哪位高人能解决这个问题?可一定要回啊!)。需要Domino7.0以上版本(还好 Domino7.0的已经发布了而且集成了JDK1.4),如果你的Domino无法升级到Domino7.0,那么也有个解决的笨方法,再安装 Domino7.0的附加服务器,然后两台服务器做SSO,names.nsf相互复制就OK了。好了,现在继续中断的话题,用java的工具 keytool导入验证文件,具体方法:
Java_home\bin\keytool -import -keystore dominoad.keystore -file yourcaroot.cer
Java_home\bin\keytool -import -keystore dominoad.keystore -alias mkey -file yourcomputer.cer
然后将dominoad.keystore拷贝至Domino根目录下.下一步,修改Domino的jvm里的java.policy文件,在grant下添加下面两行:
permission java.util.PropertyPermission "javax.net.ssl.trustStore", "write";
permission java.util.PropertyPermission "javax.net.ssl.trustStorePassword", "write";
这些工作都做好后,重启Domino服务器,运行java代理,最好是在Web上运行。
以上写的很简单,只是大致介绍了一下Domino与AD集成的方法,具体的程序代码网上也有不少,我只是介绍一下我在工作中遇到的问题,如果我的这 些文字能够给那些正处在迷茫中的朋友一个启发那就太好了,当然要是能给人一种拨云见日的感觉,那我真要感激涕零了。热烈欢迎共同讨论!
相关阅读 更多 +
