Assistance d'annuaire du service LDAP
Si un serveur Domino® exécute le service LDAP, vous pouvez configurer l'assistance d'annuaire pour un annuaire Domino® ou un catalogue d'annuaires étendu afin que le service utilise l'annuaire pour traiter les opérations du client LDAP. Vous pouvez également configurer l'assistance d'annuaire pour un annuaire LDAP distant afin que le service LDAP permette aux clients LDAP de faire référence à l'annuaire lorsqu'une recherche reste sans résultats dans les annuaires Domino® ou catalogues d'annuaires étendus.
Traitement des opérations LDAP à l'aide d'un annuaire Domino® secondaire ou d'un catalogue d'annuaires étendu
Pourquoi et quand exécuter cette tâche
Le service LDAP peut utiliser un annuaire Domino® secondaire ou un catalogue d'annuaires étendu pour traiter les demandes clients LDAP s'il existe un document Directory Assistance pour l'annuaire dans une base Directory Assistance utilisée par le service LDAP et que LDAP Clients est sélectionné dans le champ Make this domain available to de l'onglet Basics du document. Pour éviter que le service LDAP utilise un annuaire Domino® ou un catalogue d'annuaires étendu lors du traitement des demandes des clients LDAP, ne sélectionnez pas l'option LDAP Clients dans le document d'assistance d'annuaire de l'annuaire. Les règles de dénomination configurées pour les annuaires ont une influence sur le choix des annuaires utilisés par le service LDAP.
Contrôlez l'accès du client LDAP séparément pour chaque annuaire utilisé par le service LDAP. Par exemple, vous pouvez autoriser les utilisateurs LDAP anonymes à accéder à des attributs spécifiques dans un annuaire mais pas dans un autre.
Si l'annuaire Domino® ou le catalogue d'annuaires étendu est distant, le serveur distant n'a pas besoin d'exécuter le service LDAP. Pour traiter une demande de recherche LDAP à l'aide d'un annuaire distant, la LCA de l'annuaire sur le serveur distant doit donner au serveur exécutant le service LDAP l'accès Lecteur via une entrée de type utilisateur "Groupe de serveurs" ou "Serveur" si l'une des conditions suivantes est vraie :
- La demande de recherche provient d'un client LDAP authentifié.
- L'accès étendu est activé sur l'annuaire.
Les serveurs disposent généralement de cet accès via l'accès par défaut des groupes LocalDomainServers et OtherDomainServers dans la LCA de l'annuaire.
Le service LDAP ne traite pas d'opérations d'écriture vers un annuaire Domino® ou un catalogue d'annuaires étendu distant. A la place, il renvoie au client une référence LDAP au serveur d'administration de l'annuaire, ou, en cas d'absence de serveur d'administration, au serveur qui enregistre la réplique distante spécifiée dans la base Directory Assistance. Cette référence a lieu que le serveur distant exécute ou non le service LDAP.
Résultats
des références de service LDAP à un annuaire LDAP distant.
Pourquoi et quand exécuter cette tâche
Si le service LDAP ne peut pas trouver les informations que recherche un client LDAP dans l'annuaire Domino® principal, un catalogue d'annuaires condensé, un annuaire Domino® ou un catalogue d'annuaires étendu configuré dans une base Directory Assistance, il peut permettre au client de faire référence à un annuaire LDAP distant. Dans le document Directory Assistance de l'annuaire LDAP distant, dans l'onglet Basics, pour Make this domain available to sélectionnez LDAP Clients. Pour empêcher le service LDAP de permettre aux clients de se référer à l'annuaire, ne sélectionnez pas l'option LDAP Clients.
Pour renvoyer une référence, le service Domino® LDAP utilise les informations contenues dans le document Directory Assistance de l'annuaire LDAP distant. Cette référence est compatible avec LDAP v3 et contient :
- le nom d'hôte de l'URL du serveur d'annuaires LDAP ;
- le nom distinctif attribué à l'annuaire dans le document Directory Assistance ;
- le port utilisé par le serveur d'annuaires LDAP.
Sachez que lorsqu'il renvoie une référence, le serveur Domino® exécutant le service LDAP ne se connecte jamais au serveur d'annuaires LDAP distant.
Certains clients LDAP peuvent accepter plusieurs références de sorte que si le nom d'hôte spécifié dans une référence n'est pas disponible, le client peut essayer d'en utiliser un autre. Par défaut, pour une recherche donnée, le service LDAP ne permet à un client LDAP de faire référence qu'à un seul nom d'hôte d'annuaire LDAP distant. Si certains clients LDAP utilisant le service LDAP peuvent accepter plusieurs références, vous pouvez utiliser le paramètre de configuration du service LDAP Maximum number of referrals (Nombre maximal de références) pour augmenter le nombre de références pouvant être renvoyées par le service LDAP.