POP3用户使用AD认证访问Lotus Domino

有感于大家配置好DA使用AD认证访问Lotus iNotes，但是使用POP3客户端访问Domino，出现：

 POP3 Server: Unable to open mail file for CN=Jack/OU=IT/OU=CA/OU=Acme/DC=Acme/DC=com: 

This function is inappropriate for file system directories.

失败问题的解决方法，自己也在此问题耗费很久。

以下简单叙述，希望有所裨益。

1 首先配置DA数据库。

 参考：从 Microsoft Active Directory 到 IBM Lotus Domino Directory 的完全迁移

 http://www.ibm.com/developerworks/cn/lotus/domino-msad/?ca=drs-cn

2 在用户个人文档和邮件数据库中需要添加AD中的用户DN，如：

在个人文档用户名中：

  CN=lili/OU=IT/OU=信息技术部/OU=北京分公司/DC=Domain/DC=com

 在Domino用户邮件数据库的ACL中同样添加此DN，赋予编辑者或者以上权限。

 3 为了让POP3用户通过AD认证，拓展AD user用户属性mailFile。

 mailFile属性值赋值如下：mailxx.nsf（对应用户的Domino邮件文件相对路径）

 扩展AD域属性的文章很多。

参考：域架构是如何扩展 ?教你如何扩展AD架构

 http://hi.baidu.com/liwya/blog/item/f1cd3708f2227ed663d986f1.html

 

 4 以上完毕，然后尝试配置outlook账户，使用AD账户和密码。

 

 5 对于企业大量用户来说，以上方法过于耗时。

 

1 需要自己设计程序批量处理Domino个人文档和邮件数据库中添加DN。

 

2 需要批量为AD 用户添加mailFile属性。

 

3 在不违反现有AD安全策略的情况下，提供AD管理员修改mailFile属性的功能菜单。

 

而不是使用ADSI Edit（此工具权限过大，易导致管理错误）。

 

 

 

关于ibm文档库中，提到此问题。

&nbspUnable to find mailfile for POP3 user when authenticating with an LDAP server

 

&nbspProduct:&nbsp     

Lotus Domino > LDAP > Version 8.0.1

 

&nbspPlatform(s):&nbsp        

Windows

 

&nbspDoc Number:&nbsp     

1305561

 

&nbspDate:&nbsp 

2011-04-06

 

 

 

&nbspProblem

POP3 users are set up to authenticate with an LDAP server.

However, they cannot access their mail file

&nbspSymptom

Error appears: POP3 Server: Unable to open mail file for CN=username/O=organisation: This function is inappropriate for file system directories.

&nbspCause

The LDAP server does not have a attribute matching the mailfile location

NAMELookup::<LDAP GW> Attribute MailFile not found for entry CN=username/O=organisation

&nbspEnvironment

Windows.

&nbspDiagnosing the problem

Enable LDAP and name look-up debug to see the query for the mailfile name

LDAPDEBUG=3

debug_namelookup=1

 

&nbspContent

The workaround to the problem is to add the mailfile attribute to the LDAP schema for Active Directory

 

1. Add a field in Active Directory called, for example "MailFile", as it is named in Domino

2. Use Tivoli Directory Integrator to populate this field in AD with the MailFile field from Domino.

Tivoli Directory Integrator Limited Use Entitlement

http://www-306.ibm.com/software/lotus/notesanddomino/tivoli-directory-integrator-entitlement.html

3. You will need to configure AD to allow the field created to be queried.

4. the users LDAP name will need to be in the ACL of their mailfile. e.g. cn=user/o=organisation

 

 

另外关于Domino的目录独立性未来的发展方向，

Lotus Software Knowledge Base Document

英文版：

Title:         What is the future of the Domino Directory Independence capability?

Doc #:       1416004

URL:          http://www.ibm.com/support/docview.wss?uid=swg21416004