目錄協助和用戶端認證
若要透過任何支援的網際網路通訊協定(網路(HTTP)、IMAP、POP3 或 LDAP)來鑑別正在存取 Domino® 伺服器上資料庫的使用者,伺服器可以在其目錄協助資料庫所配置的目錄中查閱使用者認證。伺服器可以使用此認證的 X.509 憑證安全性或名稱及密碼安全性。
執行這項作業的原因和時機
若要允許伺服器使用在目錄協助資料庫中設定的網際網路用戶端認證的目錄,請在該目錄的「目錄協助」文件中執行下列各項:
- 在「基本」標籤上的「這個網域可用於」中,選取「Notes 用戶端及網際網路鑑別/授權」。
- 在「命名環境」定義(規則)標籤上,啟用至少一個對應於要鑑別目錄中使用者識別名稱的規則,然後在「授信認證」中選取「是」。
例如,如果組織在外部 LDAP 目錄中註冊網路伺服器,當網路使用者嘗試存取 Domino®網路伺服器上的資料庫時,該伺服器可以連接至遠端外部 LDAP 目錄伺服器,查閱使用者名稱及密碼以進行鑑別。
名稱及密碼認證所接受的名稱
執行這項作業的原因和時機
若伺服器使用名稱及密碼安全性來認證網際網路用戶端,則選擇伺服器可以從用戶端接受的名稱類型。在主要 Domino® 名錄的「伺服器」文件的「 」標籤上,選取「較多的名稱變化配合較低的安全性」或「較少的名稱變化配合較高的安全性」(預設值)。選項適用於使用任何目錄的名稱及密碼鑑別,包括主要 Domino® 名錄。
雖然伺服器可以從用戶端接受非辨識名稱以在目錄中搜尋使用者項目,但是在目錄項目中它一直是使用者辨識名稱,伺服器將它與「目錄協助」文件中的授信規則比較,以決定是否要認證用戶端。例如,假設使用者在識別名稱為 cn=alice browning,o=Renovations 的目錄中註冊,但是使用者在用戶端上配置名稱為 alice browning。在認證期間,伺服器會搜尋包含名稱 alice browning 的項目。找到該項目時,如果 "cn=alice browning,o=renovations" 符合目錄的授信命名規則,則僅會鑑別用戶端。
使用者識別名稱也可以用來作為 Domino® 中存取控制的基礎,因此在資料庫ACL、資料庫ACL 中使用的群組、「伺服器」文件中的存取清單,以及網路伺服器的「檔案保護」文件中應使用使用者識別名稱。
在用戶端認證時遇到重複的名稱
執行這項作業的原因和時機
跨通訊協定之一致的用戶端名稱及密碼
執行這項作業的原因和時機
如果 Domino® 伺服器透過多個網際網路通訊協定來鑑別用戶端,為了簡化目錄管理,請以一組名稱及密碼(適用於所有通訊協定)來為用戶端建立一個目錄項目。然後設定用戶端,在所有通訊協定上使用相同的名稱和密碼。
例如,如果用戶端透過網路瀏覽的 HTTP 和目錄服務的 LDAP 連接至 Domino®,請以名稱及密碼為用戶端建立一個目錄項目,並設定用戶端在兩種類型的連線上都使用該名稱及密碼。
使用遠端 LDAP 目錄進行用戶端認證時可供使用的功能
執行這項作業的原因和時機
下列功能特別在遠端 LDAP 目錄進行客戶端認證時可供使用。
- 可設定的搜尋篩選程式(以控制用來在遠端 LDAP 目錄中查詢名稱的搜尋篩選程式)
- LDAP 至 Domino 名稱對應,可讓使用者使用 Notes® 識別名稱(而非 LDAP 識別名稱)來進行鑑別。
Notes® 用戶端鑑別
執行這項作業的原因和時機
依預設,伺服器鑑別 Notes® 用戶端時,不會使用 Domino® 名錄的「人員」文件中的資訊。不過,如果您在伺服器的「伺服器」文件的「基本」標籤上啟用選項「比較 Notes 公開金鑰與儲存在目錄中的公開金鑰」,則只有在 Notes® 用戶端呈現的公開金鑰符合使用者「人員」文件中的公開金鑰時,伺服器才會鑑別 Notes® 使用者。
如果連接至伺服器以進行鑑別的 Notes® 使用者註冊於次要 Domino® 名錄,而非伺服器的主要 Domino® 名錄中,且已對使用者連接的伺服器啟用比較 Notes 公開金鑰與儲存在目錄中的公開金鑰選項,則您必須選取「目錄協助」文件中的這個網域可用於:Notes 用戶端及網際網路鑑別/授權選項,以允許伺服器進行公開金鑰比對。這個「目錄協助」文件可用於:
- Notes® 使用者在其中註冊的次要 Domino® 名錄
- 聚集次要 Domino® 名錄(Notes® 使用者在其中註冊)的延伸目錄型錄。