Connections/Websphere: Kerberos mit Domino Userbase

Bei einer neuen Connections Umgebung stellt sich oft die Frage nach der “richtigen” Userbase. Zum einen Domino, meistens mit sauber und vollständig gepflegtem Inhalt. Zum zweiten Active Directory um eine Single Sign On über SPNEGO/Kerberos zu anderen Anwendungen oder dem Desktop zu ermöglichen.

Es ist möglich beide Vorteile zu vereinen:

  • Authentifizierung gegen Active Directory, Synchronisation der Userinformationen gegen Domino
  • Erweiterung der Synchronisation der Userdaten um einen Lookup eines zweiten Verzeichnisses.

Beide Optionen haben Einschränkungen und benötigen Anpassungen an der Umgebung. Eine weitere Möglichkeit ist die Nutzung von Domino für die Authentifikation sowie die Synchronisation jedoch mit Kerberos als Single Sign On Lösung.
Hierfür ist ein Username Mapping zwischen Active Directory und Domino möglich. Es gibt zwei Möglichkeiten:

Übername des Kerberos Principal in das Domino User Name Feld

Der Kerberos Principal ist nach folgendem Format aufgebaut: principal-name.instance-name@REALM-NAME

In einer Standard Umgebung zum Beispiel: nmeisenzahl@NME.LOCAL

Damit WebSphere den Kerberos Principal auflösen kann muss dieser im LDAP (Domino) als CN auflösbar sein. Hierfür muss er in das User Name Feld synchronisiert werden. Dies ist zum Beispiel über den IBM Security (Tivoli) Directory Integrator möglich.

Deaktivieren der “Trim Kerberos Realm” Option bei gleicher UID

Diese Option ist nur möglich sofern der Short Name (Domino) dem sAMAccountName (Active Directory) gleicht. Hierfür muss bei der Konfiguration von Kerberos lediglich die Option “Trim Kerberos realm from principal name” deaktiviert werden. Die Option sorgt dafür das WebSphere den Principal ohne @REALM-NAME aufgelöst wird.

Leave a Reply

Your email address will not be published. Required fields are marked *