Регистрация Юзеров Через Tdi. Проблема С Безопасностью

divankin

Senjor developer
13.08.2009
182
0
#1
Пытаюсь сделать автоматическую регистрацию пользователей из AD в Lotus. ADSync отмел как более не поддерживаемый и просто незапускающийся на 64бит виндах. Поэтому мучаюсь с Tivoli Directory Integrator 7.1
C AD интеграцию удалось настроить, правда пока без паролей. В Лотусе создать пользователя тоже удается, но без id-шки. А если пробовать включить режим с созданием id -файла то выдается ошибка
ID=4 005, Error Text=Notes error: You are not authorized to add Person documents in this Domino Directory

Что по меньшей мере странно. Ибо
-как я уже сказал документ пользователя создается, если не пытаться создавать id файл
-создаю под полным админом
-права везде манагерские
-роли все есть, включая UserCreator и UserModifier
-ограничение на максимальный доступ через интернет пробовал делать манагерским
-в конфигурации сервера указано, что являюсь всевозможным админом и имею право запускать любые скрипты

У кого есть какие идеи где еще можно добавить прав? Или возможно поделиться опытом интеграции регистрации пользователей через TDI?
 

lmike

нет, пердело совершенство
Lotus team
27.08.2008
6 490
366
#2
не сталкивался с TDI, а как он с доминой сопрягается? прописывает свой адын/эксмжр?
если так - то права д.б. у сервера! домины, на роли и прочая

Добавлено: я так понимаю - ИД пытаетесь сохранить в АК, может не стоит?!
 

rinsk

Well-Known Member
Lotus team
12.11.2009
896
84
#3
Пытаюсь сделать автоматическую регистрацию пользователей из AD в Lotus. ADSync отмел как более не поддерживаемый и просто незапускающийся на 64бит виндах. Поэтому мучаюсь с Tivoli Directory Integrator 7.1. Коннектор работает с Лотус через Diiop
C AD интеграцию удалось настроить, правда пока без паролей. В Лотусе создать пользователя тоже удается, но без id-шки. А если пробовать включить режим с созданием id -файла то выдается ошибка
ID=4 005, Error Text=Notes error: You are not authorized to add Person documents in this Domino Directory

Что по меньшей мере странно. Ибо
-как я уже сказал документ пользователя создается, если не пытаться создавать id файл
-создаю под полным админом
-права везде манагерские
-роли все есть, включая UserCreator и UserModifier
-ограничение на максимальный доступ через интернет пробовал делать манагерским
-в конфигурации сервера указано, что являюсь всевозможным админом и имею право запускать любые скрипты

У кого есть какие идеи где еще можно добавить прав? Может быть какие-нибудь особые разрешения для JVM или Diiop?
Или просто поделитесь опытом интеграции регистрации пользователей через TDI
А разве TDI хакает АД пароль пользователя?

К TDI пару раз подступался - но он показался всеж монстроватым... В итоге заюзал LS...
 

divankin

Senjor developer
13.08.2009
182
0
#4
lmike

Спасибо. Дал серверу UserCreator и UserModifier - заработало.


А разве TDI хакает АД пароль пользователя?

К TDI пару раз подступался - но он показался всеж монстроватым... В итоге заюзал LS...
Зачем хакает? Как я понял, там настраивается обмен сертификатами и AD сама отдает пароль, да еще и сама сообщает при изменении пароля.

В принципе с TDI на свежую голову несложно разобраться. Грубо говоря настраиваешь два подключения, настраиваешь два mapping'a и готово.
При этом поля все и в AD, и в Domino известны. Поэтому странно, что нигде нет простого типового решения, ни в комплекте TDI, ни на сайте IBM, ни просто в инете.

P.S. Если соберетесь настраивать синхронизацию паролей, устанавливайте TDI Identity Edition, причем при установке нужно выбрать все опции, иначе коннекторов с паролями не будет.
 

rinsk

Well-Known Member
Lotus team
12.11.2009
896
84
#5
lmike

Спасибо. Дал серверу UserCreator и UserModifier - заработало.

Зачем хакает? Как я понял, там настраивается обмен сертификатами и AD сама отдает пароль, да еще и сама сообщает при изменении пароля.

В принципе с TDI на свежую голову несложно разобраться. Грубо говоря настраиваешь два подключения, настраиваешь два mapping'a и готово.
При этом поля все и в AD, и в Domino известны. Поэтому странно, что нигде нет простого типового решения, ни в комплекте TDI, ни на сайте IBM, ни просто в инете.

P.S. Если соберетесь настраивать синхронизацию паролей, устанавливайте TDI Identity Edition, причем при установке нужно выбрать все опции, иначе коннекторов с паролями не будет.
Эт здорово - если пароли синхронизирует. Мне вот интересно - как отрабатывает переименование пользователя? Если несколько раз подряд изменить имя пользователя ну или прару раз потаскать из OU в OU то по идее должны сформироваться несколько админ запросов - и как они отрабатывают при этом?
 
14.12.2011
11
0
#6
Пытаюсь сделать автоматическую регистрацию пользователей из AD в Lotus. ADSync отмел как более не поддерживаемый и просто незапускающийся на 64бит виндах. Поэтому мучаюсь с Tivoli Directory Integrator 7.1
C AD интеграцию удалось настроить, правда пока без паролей. В Лотусе создать пользователя тоже удается, но без id-шки. А если пробовать включить режим с созданием id -файла то выдается ошибка
ID=4 005, Error Text=Notes error: You are not authorized to add Person documents in this Domino Directory

Что по меньшей мере странно. Ибо
-как я уже сказал документ пользователя создается, если не пытаться создавать id файл
-создаю под полным админом
-права везде манагерские
-роли все есть, включая UserCreator и UserModifier
-ограничение на максимальный доступ через интернет пробовал делать манагерским
-в конфигурации сервера указано, что являюсь всевозможным админом и имею право запускать любые скрипты

У кого есть какие идеи где еще можно добавить прав? Или возможно поделиться опытом интеграции регистрации пользователей через TDI?
Здравствуйте, пытаюсь создать коннектор mode = update, при любом Session Type , но постоянно ругается: error java.lang.NullPointerException. Notes.jar подложил в TDI, .id тоже подложил, DIIOP, LDAP, HTTP запущены в Domino. JAVA установлена на IE8

В Console выводит:
CTGDKC098I Domino Users Connector's local Notes thread started.
CTGDKC010I Will use regular database search in Iterator and Lookup modes.
CTGDKC096I Opening Session to Domino Server: Session Type='LocalClient',, Hostname='10.0.0.2', User ID='null', Requested IIOP/SSL='false'.
CTGDKC095I Session to Domino Server is created.
CTGDKC100I Domino Users Connector's local Notes thread terminated.


Пожалуйста, напишите, ЧТО не так?
 
14.12.2011
11
0
#7
При подключении консоли TDI выдаются предупреждения:

Conflict for 'com.ibm.tdi.rcp.nvb':HandlerActivation(commandId=com.ibm.tdi.rcp.nvb,
handler=ActionDelegateHandlerProxy(null,com.ibm.tdi.eclipse.actions.NullBehavior
Action),
expression=WorkbenchWindowExpression(org.eclipse.ui.internal.WorkbenchWindow@7a0
67a06),sourcePriority=16384)
HandlerActivation(commandId=com.ibm.tdi.rcp.nvb,
handler=ActionDelegateHandlerProxy(null,com.ibm.tdi.eclipse.actions.NullBehavior
Action),
expression=WorkbenchWindowExpression(org.eclipse.ui.internal.WorkbenchWindow@7a0
67a06),sourcePriority=16384)
Conflict for 'com.ibm.tdi.rcp.publishal.action':HandlerActivation(commandId=com.ibm.tdi.rcp.publishal.action,
handler=ActionDelegateHandlerProxy(null,com.ibm.tdi.eclipse.actions.PublishALAct
ion),
expression=WorkbenchWindowExpression(org.eclipse.ui.internal.WorkbenchWindow@7a0
67a06),sourcePriority=16384)
HandlerActivation(commandId=com.ibm.tdi.rcp.publishal.action,
handler=ActionDelegateHandlerProxy(null,com.ibm.tdi.eclipse.actions.PublishALAct
ion),
expression=WorkbenchWindowExpression(org.eclipse.ui.internal.WorkbenchWindow@7a0
67a06),sourcePriority=16384)

Уже workspace сменил