在遠端 LDAP 目錄中使用 Notes® 識別名稱

此功能可讓從 Domino® 名錄移轉使用者至遠端 LDAP 目錄的組織,繼續使用使用者的原始 Notes® 識別名稱。此功能也可作為一種非常有用的隱藏方式,讓使用者不必看到複雜的 LDAP 識別名稱。

執行這項作業的原因和時機

您可以設定遠端 LDAP 目錄的目錄協助,以便讓 Domino® 伺服器:

  • 使用 Notes® 識別名稱(而非 LDAP 識別名稱)進行網際網路用戶端鑑別證
  • 在資料庫ACL 中及資料庫ACL 所使用的群組中接受 Notes® 識別名稱,以用於資料庫存取權授權。

若要設定此功能,可以將儲存 Notes® 名稱值的屬性新增至 LDAP 目錄的使用者項目中,然後新增 Notes® 識別名稱作為屬性值。接著,在 LDAP 目錄的「目錄協助」文件中指定 Notes® 名稱所使用的屬性。

一旦設定此功能,用戶端便可使用其 Notes® 識別名稱或其原始的 LDAP 識別名稱來鑑別。資料庫ACL、「伺服器」文件存取控制欄位、存取控制群組及網路伺服器「檔案保護」文件僅可以使用 Notes® 識別名稱。

程序

  1. 若要將 Notes® 識別名稱新增至 LDAP 目錄,請在遠端 LDAP 目錄中,選擇屬性以儲存 LDAP 目錄使用者項目中的 Notes® 名稱值。該屬性的語法必須為 DN。您可以建立新屬性,或者使用已定義在綱目中的現有屬性。
  2. 新增 Notes® 名稱,作為遠端 LDAP 目錄使用者項目已選取的屬性值。
    • Domino® 未提供工具來新增該名稱,請使用可供您使用的工具。
    • Notes® 名稱值採用 LDAP 格式。例如,使用 cn=John Doe,o=Renovations,而不是 John Doe/Renovations 或 cn=John Doe/o=Renovations。
    • 您可以使用任何識別名稱值,但是建議使用具有多個部分的識別名稱,因為它可以提供更好的安全性。
  3. 設定目錄協助以使用 Notes® 識別名稱:
    1. 若您未建立 LDAP 目錄的「目錄協助」文件,則請建立一個。
    2. 在「目錄協助」文件的「LDAP」標籤的「作為 Notes 識別名稱的屬性」欄位中,新增在 LDAP 目錄中用以儲存 Notes® 名稱的屬性名稱。
    3. 請確定在「目錄協助」文件的「命名環境定義(規則)」標籤上,具有符合 Notes® 識別名稱及 LDAP 識別名稱的「信任憑證的規則」。如果未使用全為星號的信任規則,且 Notes® 和 LDAP 名稱都使用不同的名稱階層,請您配置用來代表每一個階層的信任規則。
    4. 儲存「目錄協助」文件。
  4. 視需要將 Notes® 識別名稱新增至資料庫ACL、「「伺服器」文件存取控制」欄位、存取控制群組及網路伺服器「檔案保護」文件。採用 Notes® 格式的名稱,例如 John Doe/Renovations 或 cn=John Doe/o=Renovations,而不使用 LDAP 格式 cn=John Doe, o=Renovations。

結果

註: 如果啟用此功能,且 LDAP 目錄中的某些使用者項目不具有 Notes® 識別名稱屬性的值,則使用者必須指定要鑑別的 LDAP 識別名稱,而 Domino® 資料庫ACL 與其他存取控制清單必須使用 LDAP 識別名稱。

在遠端 LDAP 目錄中使用 Notes® 識別名稱的範例

執行這項作業的原因和時機

Renovations 公司針對遠端 LDAP 目錄中的特定使用者,使用 LDAP 識別名稱 uid=675894,ou=boston,o=airius.com。對於相同的使用者,Renovations 在 Notes® 資料庫ACL 及用於資料庫ACL 的群組中使用名稱 Jack Johnson/Boston/Renovations。Domino® 伺服器使用目錄協助,以查閱遠端 LDAP 目錄中用於用戶端鑑別的使用者認證。

Renovations 管理員執行下列動作,以對用戶端鑑別及資料庫存取控制配置使用 Notes® 識別名稱:

程序

  1. 在遠端 LDAP 目錄中,管理員將名稱為 notesname 的屬性新增至 uid=675894,ou=boston,o=airius 的使用者項目,並為該屬性賦予 cn=Jack Johnson,ou=Boston,o=Renovations 值。
  2. 在 LDAP 目錄的「目錄協助」文件的「LDAP」標籤上,管理員會將屬性 notesname 新增至欄位「作為 Notes 識別名稱的屬性」
  3. 在「目錄協助」文件的「命名環境定義(規則)」標籤上,管理員會指定全為星號的信任規則。

結果

使用者然後可以使用任何下列名稱作為用戶端認證的登入名稱:

  • cn=Jack Johnson/ou=Boston/o=Renovations
  • cn=Jack Johnson,ou=Boston,o=Renovations
  • Jack Johnson/Boston/Renovations
  • uid=675894,ou=boston,o=airius
  • 675894

Notes® 名稱 Jack Johnson/Boston/Renovations 會用於資料庫ACL 及群組中。