規劃 LDAP 服務
作為 LDAP 目錄伺服器執行 LDAP 作業的 HCL Domino® 伺服器,準備處理來自 LDAP 用戶端的要求。這樣的要求可能來自任何常用的網路瀏覽器用戶端(具有內建 LDAP 支援以擷取目錄資訊),或來自設計用於搜尋及管理目錄資訊的自訂 LDAP 應用程式。
執行這項作業的原因和時機
規劃 LDAP 服務時要詢問的一些問題包括:
- 您要使用哪些 LDAP 用戶端鑑別層次?匿名存取權(預設啟用)允許 LDAP 用戶端在不提供名稱和鑑別認證(如密碼或憑證)的情況下連接。通常您僅允許匿名連接的 LDAP 用戶端之目錄讀取存取權。
- 您應該使用進階 ACL 來控制對目錄的 LDAP 存取嗎?與資料庫ACL 單獨支援相比,進階 ACL 提供的目錄存取權控制更精細。如果您使用進階 ACL,則資料庫ACL 和進階 ACL 會控制「匿名 LDAP」搜尋存取權,以及對其他支援之用戶端通訊協定的匿名存取權。如果您不使用進階 ACL ,則「配置設定」文件會控制「匿名 LDAP」搜尋存取權。
- 您應該建立「Domino® 名錄」的全文索引嗎?如果您的 LDAP 用戶端通常使用搜尋名稱或郵件位址的搜尋過濾器,則不必全文索引該目錄。如果 LDAP 用戶端使用其他類型的搜尋過濾器,則建議建立目錄的全文索引,以便 LDAP 服務可以透過搜尋全文索引,更快地處理這些種類的要求。
- 您需要擴充綱目來新增對新物件類別或屬性的支援嗎?如果您的公司具有搜尋應用程式特定資訊的 LDAP 應用程式,則可能需要擴充綱目。您可以使用 Domino® LDAP 綱目資料庫(schema.nsf) 來擴充綱目,或將表單及欄位新增至目錄。建議使用「綱目」伺服器。
規劃 LDAP 服務的目錄協助
執行這項作業的原因和時機
您可以在執行 LDAP 服務的伺服器上設定目錄協助,以便 LDAP 服務可以擴充用戶端 LDAP 要求至次要「Domino® 名錄」或至遠端 LDAP 目錄。關於設定 LDAP 服務使用次要「Domino® 名錄」的目錄協助所要考量的一些問題包括:
- 您要 LDAP 用戶端對次要「Domino® 名錄」具有何種存取權?您要分別控制 LDAP 服務提供的每個「Domino® 名錄」或延伸目錄型錄之 LDAP 存取權。
- 如果您使用自訂 LDAP 應用程式來管理目錄,則僅當目錄儲存於執行 LDAP 服務的本端伺服器上時,LDAP 服務才容許應用程式修改目錄。如果次要「Domino® 名錄」儲存於遠端伺服器上,則相對地,LDAP 服務可以將參考資料傳回該伺服器,或自己處理 LDAP 作業。
關於設定 LDAP 服務使用目錄協助來讓 LDAP 用戶端參照遠端 LDAP 目錄,所要考慮的一些問題包括:
- LDAP 服務無法處理遠端 LDAP 目錄中的 LDAP 搜尋、新增或修改要求。它只能讓 LDAP 用戶端參照遠端 LDAP 目錄。
- 根據預設,LDAP 服務可以將一個遠端 LDAP 目錄的參考資料傳回到指定的 LDAP 用戶端。如果您要啟動 LDAP 服務將多個轉介傳回 LDAP 用戶端,以便當指定於第一個轉介的目伺服器無法使用時,LDAP 用戶端可以使用替代轉介,您必須增加 LDAP 服務的「轉介數目上限」設定。
- 您可以在一個「目錄協助」文件中為遠端 LDAP 目錄指定參考資料的替代 LDAP 目錄。
註: DAP 服務(類似任何 Domino® 網際網路通訊協定伺服器)可以使用目錄協助來鑑別其用戶端(使用次要目錄中之認證),並在資料庫權限的次要目錄中使用群組。