在辅助 Domino® 和 LDAP 目录中认证 Web TLS 客户机
Web 客户机向服务器进行认证时,缺省情况下服务器会检查 HCL Domino®目录,查看“个人”文档中是否存在客户机证书。如果组织使用辅助 Domino® 目录和/或 LDAP 目录来验证客户机证书,那么可以设置 Domino® 来检查这些附加的目录。为此,应在“目录辅助”数据库中将辅助 Domino® 和 LDAP 目录设置为可信域。
将域标记为可信后,Domino® 会先在主 Domino® 目录中搜索用户,然后搜索可信的辅助 Domino® 和 LDAP 目录。在设置目录辅助时,可以指定 Domino® 搜索辅助目录的顺序。
另外,在使用 Domino® 认证中心应用程序向 Domino® 目录添加 TLS 客户机证书时,Domino® 会检查主 Domino® 目录和可信辅助目录。但是,即使在 Domino® 服务器上设置了 LDAP 目录,也不能向 LDAP 目录添加客户机证书。
建议使用 TLS 来保护服务器和 LDAP 目录服务器之间发送的信息。
根据“目录辅助”数据库中的可信规则来检查 Domino® 目录或 LDAP 目录返回的分层名称,可验证组织和组织单元是否与指定的规则相匹配。例如,如果返回的用户名为 Dave Lawson/Renovations,那么“目录辅助”文档必须包含规则 */Renovations
。
认证使用名称和密码认证的用户时也可搜索多个目录。