Configuration de TLS dans un document Assistance d'annuaire pour un répertoire LDAP distant

Si un serveur HCL Domino® utilise un annuaire LDAP distant pour rechercher les données d'identification lors de l'authentification du client Internet ou des membres de groupes lors de l'autorisation de base de documents, indiquez que le serveur doit utiliser TLS pour se connecter au serveur d'annuaire LDAP. Configurez cette option afin que les communications entre le serveur Domino® et le serveur LDAP soient sécurisées et que le serveur Domino® puisse utiliser un certificat X.509 pour vérifier l'identité du serveur d'annuaire LDAP distant.

Pourquoi et quand exécuter cette tâche

Pour utiliser TLS, sélectionnez TLS dans le champ Channel encryption de l'onglet LDAP du document Directory Assistance du répertoire LDAP distant. Lorsque vous sélectionnez TLS, vous devez également effectuer des sélections pour ces champs associés :

  • Accepter les certificats TLS périmés
  • Vérifier le nom du serveur avec le certificat du serveur distant

Procédure

  1. Dans le champ Accepter les certificats TLS expirés, sélectionnez au choix :
    • Oui (valeur par défaut) pour accepter un certificat du serveur d'annuaires LDAP, même si ce certificat est arrivé à expiration.
    • Non pour rejeter un certificat expiré, afin d'assurer une meilleure sécurité.
  2. Dans le champ Vérifier le nom du serveur avec le certificat du serveur distant, sélectionnez au choix :
    • Activé (valeur par défaut)
    • Désactivé

    Choisissez Activé pour que la ligne d'objet du certificat du serveur contienne le nom d'hôte du serveur d'annuaire LDAP. Pour que cette option fonctionne correctement, la ligne d'objet du certificat du serveur distant doit contenir son nom d'hôte DNS. Conservez cette option activée si vous êtes sûr que le certificat X.509 du serveur d'annuaire LDAP distant contient le nom d'hôte du serveur distant au format approprié.

    L'AC Domino® et certaines autres autorités de certification fournissent une boîte de dialogue permettant aux utilisateurs d'entrer la ligne d'objet lors d'une demande de certificat. Par exemple, l'AC Domino® demande à chaque utilisateur d'entrer les informations du serveur distant, telles que le nom usuel, le nom de la division, le nom de la société, l'état (ou département) et le pays. L'AC Domino® place ensuite ces informations dans la ligne d'objet, puis ajoute le préfixe approprié (cn=, ou=, o=, etc.) dans chaque champ. Si vous avez utilisé une autorité de certification Domino® pour créer le certificat du serveur distant, entrez le nom d'hôte du serveur distant dans le champ de nom usuel lorsque vous utilisez l'option Vérifier le nom du serveur avec le certificat du serveur distant. Par exemple, l'AC Domino® permet aux utilisateurs d'entrer les lignes d'objet suivantes (serveurmessagerie.renovations.com correspond au nom d'hôte DNS du serveur) :

    cn=serveurmessagerie.audimatique.com, ou=ventes, ou=marketing, o=audimatique, st=loireatl, c=fr

    cn=serveurmessagerie, ou=ventes - serveurmessagerie.audimatique.com o=audimatique, st=loireatl, c=fr

    Pour vous assurer que les utilisateurs entrent le nom d'hôte DNS correct, demandez-leur de l'entrer comme nom usuel (cn=) lorsqu'ils soumettent une demande de certificat à l'AC Domino®. D'autres autorités de certification peuvent utiliser d'autres boîtes de dialogue pour entrer la ligne d'objet. Les utilisateurs doivent suivre les instructions des boîtes de dialogue pour entrer le nom d'hôte DNS du serveur distant.