LDAP サービスのディレクトリアシスタント
Domino® サーバーで LDAP サービスが実行されている場合は、Domino® ディレクトリまたは拡張ディレクトリカタログに対して、ディレクトリアシスタントを設定し、LDAP サービスがそのディレクトリを使用して、LDAP クライアントの操作を処理できるようにすることが可能です。また、リモート LDAP ディレクトリに対してディレクトリアシスタントを設定し、Domino® ディレクトリまたは拡張ディレクトリカタログでの検索が成功しなかった場合に、LDAP サービスで LDAP クライアントの参照先をそのディレクトリにすることができます。
2 次 Domino® ディレクトリまたは拡張ディレクトリカタログを使用して LDAP 操作を処理する
このタスクについて
LDAP サービスでは、2 次 Domino® ディレクトリまたは拡張ディレクトリカタログを使用して LDAP クライアント要求を処理できます。ただし、LDAP サービスで使用する [ディレクトリアシスタント] データベースにそのディレクトリのディレクトリアシスタント文書があり、その文書の [基本] タブにある [このドメインを利用可能にする先] フィールドで [LDAP クライアント] が選択されている必要があります。LDAP サービスで LDAP クライアント要求を処理するときに Domino® ディレクトリも拡張ディレクトリカタログも使用しないようにするには、そのディレクトリのディレクトリアシスタント文書で [LDAP クライアント] を選択しないようにします。ディレクトリに対して設定されている命名規則によって、LDAP サービスで使用するディレクトリが変わります。
LDAP サービスで使用するディレクトリごとに、LDAP クライアントのアクセスを個別に制御できます。たとえば、あるディレクトリの特定の属性にのみ、匿名 LDAP ユーザーがアクセスできるように設定できます。
Domino® ディレクトリまたは拡張ディレクトリカタログがリモートの場合、リモートサーバーで LDAP サービスを実行する必要はありません。次の条件のいずれかに当てはまる場合、リモートディレクトリを使用して LDAP 検索要求を処理するには、リモートサーバーのディレクトリ ACL で、ユーザーの種類が [サーバーグループ] または [サーバー] であるエントリによって、LDAP サービスを実行するサーバーに [読者] アクセス権を与える必要があります。
- 検索要求を発行した LDAP クライアントが認証済みである。
- そのディレクトリで拡張アクセスが有効になっている。
通常、サーバーはディレクトリ ACL の LocalDomainServers グループまたは OtherDomainServersgroups グループのデフォルトアクセス権を通じて、この必要なアクセス権を取得します。
LDAP サービスでは、リモート Domino® ディレクトリまたは拡張ディレクトリカタログに対する書き込み操作は処理しません。その代わり、そのディレクトリの管理サーバーへの LDAP 参照先をクライアントに返します。管理サーバーが存在しない場合は、[ディレクトリアシスタント] データベースで指定されたリモートレプリカを格納しているサーバーへの LDAP 参照先を返します。この参照処理は、リモートサーバーがその LDAP サービスを実行しているかどうかに関係なく発生します。
タスクの結果
リモート LDAP ディレクトリへの LDAP サービス参照
このタスクについて
LDAP サービスで、LDAP クライアントが検索している情報が、1 次 Domino® ディレクトリ、要約ディレクトリカタログ、または [ディレクトリアシスタント] データベースで設定されている Domino® ディレクトリまたは拡張ディレクトリカタログで見つからない場合、LDAP クライアントはリモート LDAP ディレクトリを検索できます。リモート LDAP ディレクトリのディレクトリアシスタント文書の [基本] タブの [このドメインを利用可能にする先] で [LDAP クライアント] を選択します。LDAP サービスでクライアントがそのディレクトリを検索できないようにする場合は、[LDAP クライアント] を選択しないようにします。
Domino® LDAP サービスでは、参照先を返すときに、リモート LDAP ディレクトリのディレクトリアシスタント文書の情報を使用します。参照先は、LDAP v3 に準拠しており、次の項目があります。
- LDAP ディレクトリサーバーの URL ホスト名
- ディレクトリアシスタント文書でディレクトリに対して設定されている基本的な識別名
- LDAP ディレクトリサーバーが使用するポート
LDAP サービスを実行している Domino® サーバーは、参照先を返すときに、リモート LDAP ディレクトリサーバーに接続しません。
ある参照先で指定されているホスト名が使用できなくても別の参照先を使用できるように、複数の参照先を受け入れることができる LDAP クライアントもあります。デフォルトでは、指定された検索に対して、LDAP サービスで LDAP クライアントから参照できるリモート LDAP ディレクトリのホスト名は 1 つのみです。LDAP サービスを使用する LDAP クライアントで複数の参照先を受け入れることができる場合は、LDAP サービス設定の [参照最大数] で LDAP サービスから返すことのできる参照先の数を増やすことができます。