在远程 LDAP 目录中使用 Notes® 专有名称

此功能使从 Domino® 目录向远程 LDAP 目录迁移用户的组织能够继续使用用户原来的 Notes® 专有名称。此功能还可用于隐藏用户复杂的 LDAP 专有名称。

关于此任务

您可以为远程 LDAP 目录设置目录辅助,以便 Domino® 服务器能够执行以下操作:

  • Notes® 专有名称(而不是 LDAP 专有名称)进行因特网客户机认证
  • 接受数据库 ACL 及其中使用的组中的 Notes® 专有名称,以便进行数据库授权。

要设置此功能,请将一个用于存储 Notes® 名称值的属性添加到 LDAP 目录中的用户条目中,然后将 Notes® 专有名称作为该属性的值进行添加。最后,在 LDAP 目录的“目录辅助”文档中指定用于 Notes® 名称的属性。

设置此功能之后,客户机既可以使用其 Notes® 专有名称也可以使用原来的 LDAP 专有名称进行认证。但是,数据库 ACL、“服务器”文档的访问控制字段、访问控制组和 Web 服务器的“文件保护”文档只能使用 Notes® 专有名称。

过程

  1. 要向 LDAP 目录添加 Notes® 专有名称,在远程 LDAP 目录中,选择在 LDAP 目录用户条目中存储 Notes® 名称值的属性。该属性的语法必须是 DN。可以创建新属性,也可以使用模式中已经定义的现有属性。
  2. Notes® 名称作为选定属性的值添加到远程 LDAP 目录用户条目中。
    • Domino® 未提供添加名称的工具,请选择一种您可用的工具。
    • 请对 Notes® 名称值使用 LDAP 格式。例如,使用 cn=John Doe,o=Renovations,而不是 John Doe/Renovations 或 cn=John Doe/o=Renovations。
    • 可以使用任意的专有名称值,但建议您使用具有多个部分的专有名称,因为它能提供更好的安全性。
  3. 设置目录辅助以使用 Notes® 专有名称:
    1. 如果尚未为 LDAP 目录创建 Directory Assistance 文档,请创建一个文档。
    2. 在“目录辅助”文档的 LDAP 选项卡上的将用作 Notes 专有名称的属性字段中,添加在 LDAP 目录中用于存储 Notes® 名称的属性名称。
    3. 在“目录辅助”文档的命名上下文(规则)选项卡上,请确保存在与 Notes® 专有名称和 LDAP 专有名称相匹配的信任证书规则。如果未使用全星号的可信任规则,并且 Notes® 和 LDAP 名称使用了不同的名称层次结构,请配置一个代表各个层次结构的可信任规则。
    4. 保存 Directory Assistance 文档。
  4. 根据需要将 Notes® 专有名称添加到数据库 ACL、“服务器”文档的访问控制字段、访问控制组和 Web 服务器的“文件保护”文档中。请使用 Notes® 格式的名称,如 John Doe/Renovations 或 cn=John Doe/o=Renovations,而不要使用 LDAP 格式,如 LDAP format cn=John Doe 或 o=Renovations。

结果

注: 如果启用了此功能,并且 LDAP 目录中的某些用户项没有 Notes® 专有名称属性值,则这些用户必须指定其 LDAP 专有名称才能进行认证,并且 Domino® 数据库 ACL 和其他访问控制列表也必须使用 LDAP 专有名称。

在远程 LDAP 目录中使用 Notes® 专有名称示例

关于此任务

Renovations 公司在远程 LDAP 目录中为特定用户使用 LDAP 专有名称 uid=675894,ou=boston,o=airius.com。对于同一用户,Renovations 在 Notes® 数据库 ACL 及其使用的组中使用名称 Jack Johnson/Boston/Renovations。Domino® 服务器要使用目录辅助在远程 LDAP 目录中查找用于客户机认证的用户证书。

Renovations 的管理员将通过下列操作进行配置,以便为客户机认证和数据库访问控制使用 Notes® 专有名称:

过程

  1. 在远程 LDAP 目录中,将一个名为 notesname 的属性添加到 uid=675894,ou=boston,o=airius 用户项中,并将该属性赋值 cn=Jack Johnson,ou=Boston,o=Renovations。
  2. 在 LDAP 目录的“目录辅助”文档的 LDAP 选项卡上,将 notesname 属性添加到将用作 Notes 专有名称的属性字段中。
  3. 在目录辅助文档的命名上下文(规则)选项卡上,管理员指定全星号可信任规则。

结果

这样,用户可以使用下列任一名称作为进行认证的客户机登录名称:

  • cn=Jack Johnson/ou=Boston/o=Renovations
  • cn=Jack Johnson,ou=Boston,o=Renovations
  • Jack Johnson/Boston/Renovations
  • uid=675894,ou=boston,o=airius
  • 675894

Notes® 名称 Jack Johnson/Boston/Renovations 将用于数据库 ACL 和组中。