更改 LDAP 服务端口和端口安全性配置
缺省情况下,LDAP 客户机可以匿名或使用名称和密码认证的方式通过 TCP/IP 端口 389 连接到 LDAP 服务。缺省情况下,LDAP 客户机不能使用 TLS 进行连接。
要使用名称和密码安全性对某些 LDAP 客户机(例如,Microsoft™ Internet Explorer 和具有 LDAP 帐户的 HCL Notes® 客户机)进行认证,请首先执行匿名搜索以检索用于认证的专有名称,这样用户就不必自行指定专有名称。要使此类客户机能够使用名称和密码认证,必须对这些客户机用来进行连接的 LDAP 服务端口启用匿名访问以及名称和密码认证。还必须允许匿名读取客户机为提取专有名称而匿名搜索目录时所使用的属性。通常搜索的属性为 cn、uid、sn、givenname 或 mail.。
按照下列步骤更改运行 LDAP 服务的特定服务器上的 LDAP 服务端口和端口安全性配置:
- 在 HCL Domino®Administrator 中,单击配置选项卡。
- 在导航窗格中,展开“服务器”并打开运行 LDAP 服务的服务器的“服务器”文档。
- 单击编辑服务器。
- 单击选项卡。注: 如果要管理托管组织环境,下表中的星号 (*) 表示您必须要在“因特网站点”文档中指定的选项。在非托管组织环境中,您可以使用“站点”文档,也可以不使用该文档。
- 填写以下字段:
表 1. LDAP 服务的 TCP/IP 端口配置 字段
Enter 键
TCP/IP 端口号
选择 389(缺省值),使用通过 TCP/IP 的 LDAP 连接的工业标准端口。您可以指定其他端口,但在大多数情况下可以使用 389。
TCP/IP 端口状态
选择以下某个选项:
- 启用(缺省值)- 允许 LDAP 客户机在不使用 TLS 的情况下连接到服务器。
- 重定向到 TLS - LDAP 客户机先在不使用 TLS 的情况下直接连接,然后改为使用 TLS。LDAP 服务向 LDAP 客户机返回消息,说明必须通过 TLS 进行连接。
- 禁用 - 阻止 LDAP 客户机使用 TCP/IP 端口进行连接。
强制使用服务器权限设置
选择以下某个选项:
- 是,将“服务器”文档的安全性选项卡上服务器访问部分中设置的访问服务器和不访问服务器设置应用于通过 TCP/IP 端口连接到 LDAP 服务的已认证 LDAP 客户机。
- 无(缺省值),指定 LDAP 服务忽略服务器访问设置。
验证选项:名称和密码
如果 TCP/IP 端口状态字段设置为“启用”,请选择以下某个选项:
- 是(缺省值),允许 LDAP 客户机在使用 TCP/IP 端口连接时使用名称和密码认证。
- 否(缺省值),禁止 LDAP 客户机在使用 TCP/IP 端口连接时使用名称和密码认证。
验证选项:匿名
如果 TCP/IP 端口状态字段设置为“启用”,请选择以下某个选项:
- 是(缺省值),允许 LDAP 客户机使用 TCP/IP 端口进行匿名连接。
- 否,禁止 LDAP 客户机使用 TCP/IP 端口进行匿名连接。
- 要更改 LDAP 服务的 TLS 端口配置,请填写以下字段:
表 2. LDAP 服务的 TLS 端口配置 字段
Enter 键
TLS 端口号
选择 636(缺省值)可以将行业标准端口用于通过 TLS 进行的 LDAP 连接。您可以指定其他端口,但在大多数情况下可以使用 636。
TLS 端口状态
选择以下某个选项:
- 启用 - 允许 LDAP 客户机通过 TLS 连接到 LDAP 服务。
- 禁用(缺省值)- 禁止 LDAP 客户机通过 TLS 进行连接。
验证选项:客户证书
如果 TLS 端口状态字段设置为“启用”,请选择以下某个选项:
- 是,允许 LDAP 客户机在连接时使用客户机证书认证。
- 否(缺省值),禁止 LDAP 服务使用客户机证书认证。
验证选项:名称和密码
如果 TLS 端口状态字段设置为“启用”,请选择以下某个选项:
- 是,允许 LDAP 客户机在通过 TLS 连接 LDAP 服务时使用名称和密码认证。
- 否(缺省值),禁止 LDAP 客户机使用通过 TLS 的名称和密码认证。
验证选项:匿名
如果 TLS 端口状态字段设置为“启用”,请选择以下某个选项:
- 是(缺省值),允许 LDAP 客户机通过 TLS 匿名连接到 LDAP 服务。
- 否,禁止匿名 TLS 连接。
- 单击保存并关闭。
- 如果在未配置 LDAP 服务的服务器上进行了更改,请将更改复制到运行 LDAP 服务的服务器上。
- 在运行 LDAP 服务的服务器上输入下列命令以使更改生效:
Restart Task LDAP