目录辅助和客户机认证
要对通过任一受支持的因特网协议(Web (HTTP)、IMAP、POP3 或 LDAP)访问 Domino® 服务器上数据库的用户进行认证,服务器可以在目录(在目录辅助数据库中配置的目录)中查找此用户的凭证。服务器可以使用 X.509 证书安全机制或名称和密码安全机制进行认证。
关于此任务
要使服务器能够使用在目录辅助数据库中配置的目录进行因特网客户机认证,请在“目录辅助”文档中对该目录执行以下操作:
- 在基本选项卡上,对于使此域适用于,选择 Notes 客户机和因特网认证/授权。
- 在命名上下文(规则)选项卡上,至少启用一条与目录中要认证的用户专有名称相对应的规则,并且对于按凭证信任,选择是。
例如,如果您的组织在外部 LDAP 目录中注册了 Web 用户,那么当 Web 用户尝试访问 Domino® Web 服务器上的数据库时,该服务器可以连接到远程外部 LDAP 目录服务器来查找该用户的名称和密码,以便对用户进行认证。
名称和密码认证可以接受的名称
关于此任务
如果服务器使用名称和密码安全机制来认证因特网客户机,请选择服务器可以从客户机接受的名称类型。在主 Domino® 目录中“服务器”文档的选项卡上,选择较多名称变体,较低安全性或较少名称变体,较高安全性(缺省值)。此选项适用于使用任何目录(包括主 Domino® 目录)的名称和密码认证。
尽管服务器可以从客户机接受专有名称以外的名称用于在目录中搜索用户条目,但却始终以目录条目中该用户的专有名称与“目录服务”文档中的可信规则进行比较,以决定是否认证该客户机。例如,假设某个用户在目录中使用专有名称 cn=alice browning,o=Renovations 注册,但该用户在客户机上配置的名称是 alice browning。在认证过程中,服务器会搜索包含名称 alice browning 的条目。找到该条目后,仅当“cn=alice browning,o=renovations”符合目录的可信命名规则时,服务器才对该客户机进行认证。
此外,用户的专有名称还被用作 Domino® 中的访问控制基础,因此应该在数据库 ACL、数据库 ACL 中使用的组、“服务器”文档中的访问列表以及 Web 服务器的“文件保护”文档中使用用户的专有名称。
客户机认证过程中遇到重复的名称
关于此任务
在协议间使用一致的客户机名称和密码
关于此任务
如果 Domino® 服务器要通过多个因特网协议对客户机进行认证,为了简化目录管理,可为该客户机创建一个目录条目,条目中包含一个适用于全部协议的名称和密码。然后设置该客户机对所有协议使用相同的名称和密码。
例如,如果某个客户机通过 HTTP 连接到 Domino® 进行 Web 浏览,但通过 LDAP 连接到 Domino 以使用目录服务,那么可为该客户机创建一个包含一个名称和密码的目录条目,然后将客户机设置为对这两种类型的连接都使用该名称和密码。
使用远程 LDAP 目录进行客户机认证时的可用功能
关于此任务
下列功能专门用于使用远程 LDAP 目录进行客户机认证:
- 可配置的搜索过滤器,用于控制在远程 LDAP 目录中查找名称所使用的搜索过滤器
- LDAP 到 Domino 名称映射,使用户能够使用 Notes® 专有名称(而不是 LDAP 专有名称)进行认证。
Notes® 客户机认证
关于此任务
缺省情况下,服务器在对 Notes® 客户机进行认证时,不会使用 Domino® 目录“个人”文档中的信息。但是,如果在服务器的“服务器”文档中的“基本”选项卡上启用了与存储在目录中的 Notes 公用密钥比较选项,那么仅当 Notes® 客户机提供的公用密钥与 Notes® 用户“个人”文档中的公用密钥相匹配时,服务器才会对该用户进行认证。
如果连接到服务器进行认证的 Notes® 用户是在辅助 Domino®目录而不是服务器的主 Domino® 目录中注册的,并且用户连接到的服务器启用了与存储在目录中的 Notes 公用密钥比较选项,那么必须在“目录辅助”文档上选择使此域适用于:Notes 客户机和因特网认证/授权选项,以允许服务器执行公用密钥比较。此“目录辅助”文档可以属于下列目录:
- Notes® 用户在其中注册的辅助 Domino® 目录
- 聚集 Notes® 用户在其中注册的辅助 Domino® 目录的扩展目录编目。