为远程 LDAP 目录创建“目录辅助”文档
要为远程 LDAP 目录设置目录辅助,请在目录辅助数据库中为目录创建“目录辅助”文档。
开始之前
请确保您了解目录辅助的服务和概念。
确保已创建并复制了目录辅助数据库,且已设置服务器使用目录辅助数据库。
过程
- 如果要将远程 LDAP 目录用于除 LDAP 服务引用以外的其他任何用途,请使用 TCP/IP ping 实用程序来测试将使用 LDAP 目录的 HCL Domino®服务器是否可以连接到远程 LDAP 目录服务器。
- 在 Domino® Administrator 中,选择,选择已设置为使用目录辅助数据库的服务器,然后单击确定。
- 单击配置选项卡。
- 在导航窗格中,展开。如果看到
Server Error: File does not exist,说明步骤 2 中选择的服务器未设置为使用目录辅助数据库。 - 单击添加目录辅助。
- 在基本选项卡中,填写下列字段:
表 1. “基本”选项卡 字段
Enter 键
“基本”部分 域类型
选择 LDAP。
域名
所选的域名,此域名不同于为目录辅助数据库中其他任何“目录辅助”文档(HCL Notes®或 LDAP)所指定的域名。有关配置目录辅助和域名的更多信息,请参阅相关主题。
公司名称
与此目录关联的公司的名称。多个“目录辅助”文档可以使用同一个公司名称。
搜索顺序
一个数字,它将影响相对于目录辅助数据库中配置的其他目录来说,服务器搜索此目录的顺序或将 LDAP 客户机指向此目录的顺序。有关命名规则如何与目录搜索顺序相关联的更多信息,请参阅相关主题。
使此域适用于
选择以下一个或两个选项:
- Notes 客户机和因特网认证/授权 - 将此 LDAP 目录用于 HCL Notes® 邮件寻址、因特网客户机认证(包括 LDAP 客户机认证)或查找用于数据库授权的组成员。对于组授权,还必须启用组授权。
- LDAP 客户机 - 当 LDAP 搜索在所有 Domino® 目录中都失败时,启用运行 LDAP 服务的服务器,以将 LDAP 客户机指向此 LDAP 目录。
组授权
选择以下某个选项:
- 是,授予数据库访问权后,可在此 LDAP 目录中搜索组成员。仅针对在目录辅助数据库中配置的一个目录(Notes® 或 LDAP),选择“是”。
- 否(缺省值),授予数据库访问权后,禁止在目录中搜索组成员。
不必启用按凭证信任规则。
如果选择“是”,那么在显示的嵌套组扩展字段中选择以下某个选项:
- 是(缺省值),搜索嵌套组(组是数据库 ACL 中列出的组的成员)。
- 否,仅搜索在数据库 ACL 中列出的组成员,而不搜索嵌套在这些组中的组成员。
有关组授权的更多信息,请参阅相关主题。
专用于组授权或凭证认证
注: 仅当对此目录启用组授权,或者至少有一个规则启用了信任时,才会显示此项。选择是,允许目录辅助将此目录专用于“组授权”或“凭证认证”。启用此项可将对此目录的无认证和无授权的查找次数降至最低。
有关将目录限制为仅限认证的查找的更多信息,请参阅相关主题。
启用
选择是,为此 LDAP 目录启用目录辅助。
注: 也可以在目录辅助数据库的主视图上启用或禁用此目录的目录辅助。选择此目录的目录辅助记录,然后在工具栏上单击“启用/禁用”按钮。用作 SSO 令牌中名称的属性(映射到 Notes® LTPA_UserNm)
输入在请求 LTPA_UserNm 字段时应返回的目录属性的名称。此值将用作 Domino® 生成的任何 SSO 令牌中的用户名。
有关用于单点登录的 LTPA 令牌中名称映射的更多信息,请参阅相关主题。
“SSO 配置”部分 Windows™ Web 客户机的 单点登录 缺省情况下,服务器已启用 SSO 以及 LDAP 选项卡上的 LDAP 供应商(新)字段设置为 Active Directory 时,此复选框为启用。
此设置允许 Domino® 搜索用户的 Active Directory (Kerberos) 登录名。
Kerberos 域 仅使用大写字符输入 Active Directory 域名。名称必须与 LDAP 选项卡上的域名相匹配。
示例:AD.RENOVATIONS.COM - 在命名上下文(规则)选项卡上,针对要为目录定义的每个规则,填写以下字段。缺省情况下,当按凭证信任设置为否时,会启用全星号规则。
表 2. “命名上下文(规则)”选项卡 字段
Enter 键
N.C. #
描述 LDAP 目录中的用户名的命名上下文(规则)。有关目录辅助和命名规则的更多信息,请参阅相关主题。
启用
选择以下某个选项:
- 是,启用规则
- 否(缺省值),禁用规则
按凭证信任
选择以下某个选项:
- 是,允许服务器使用 LDAP 目录中的凭证,对目录中其专有名称符合规则的因特网客户机进行认证。
- 否(缺省值),禁止服务器使用此目录对其专有名称符合规则的因特网客户机进行认证。
有关可信命名规则的更多信息,请参阅相关主题。
- 在 LDAP 选项卡上,填写各字段以使用 LDAP 配置向导。 要配置目录辅助以成功有效地与外来 LDAP 服务器进行通信是一项挑战,因为管理员必须熟悉外来 LDAP 服务器的 LDAP 和模式与设计。此选项卡具有的向导功能可帮助指定管理员创建目录辅助 LDAP 配置文档。此选项卡上的多个字段已设置为可帮助管理员查找并验证字段的必需信息:
- 建议或验证,使一个或多个代理程序在 Domino® 服务器上运行,许多情况下,可与 LDAP 服务器进行通信。假定正在配置的目录辅助数据库正在服务器上运行并且不是本地副本。
- 建议,打开一个对话框,管理员可以在其中通过单击“开始”要求提供建议的值。然后,建议的值会填充到列表框中。管理员可以选择值并单击确定,或者只是单击“取消”。所选值会自动复制到“目录辅助”文档中。当首次配置目录辅助记录时,这会很有用。
- 验证打开一个对话框,允许管理员在其中验证当前设置是否工作正常。当验证首次目录辅助配置以及验证现有配置是否能继续正常操作时,这会很有用。
表 3. LDAP 配置向导 字段
Enter 键
“LDAP 配置”部分 主机名
远程 LDAP 目录服务器的主机名,例如 ldap.renovations.com。Domino® 服务器使用此主机名来连接到远程 LDAP 目录服务器,或者将 LDAP 客户机指向 LDAP 目录。
单击建议可打开一个对话框,在其中可查找 NDS 中列出的任何 LDAP 服务器的主机名。
单击验证也可打开一个对话框,在其中可验证每个主机名是否是活动的 LDAP 服务器。
Or
输入其他主机名,这样如果指定的第一个主机名所代表的目录服务器不可用,Domino® 服务器可以使用备用 LDAP 目录服务器。主机名之间要用逗号或分号隔开,或通过在每个新行上输入一个主机名的方式隔开。
如果指定了多个目录服务器,且每个目录服务器都侦听不同的端口,请在主机名后指定端口。例如:ldap1.acme.com:390, ldap2.renovations.com:391在此字段中输入的端口值会覆盖在端口字段中指定的值。如果未在此字段中指定端口,那么将使用端口字段中指定的值。
注: 此字段中还支持使用 IPv6 地址。但是,需要注意的是,如果在此字段中指定了 IPv6 地址,那么 7.0 版本以前的服务器将不能使用目录辅助数据库。原因是这些服务器都不支持 IPv6 地址。LDAP 供应商 输入 LDAP 目录的服务供应商(根据需要,请咨询 LDAP 管理员)。缺省值为 Domino LDAP。
注: 在选择“LDAP 供应商”的值后,高级选项部分下要使用的搜索过滤器类型的建议值将调整为与“LDAP 供应商”的值相同,但您可以修改该值。有关在“目录辅助”文档中配置搜索过滤器的更多信息,请参阅相关主题。
用于搜索的可选认证凭证
对于可选认证凭证,输入 Domino® 服务器在连接到远程 LDAP 目录服务器时要提供的 Domino 服务器的用户名和密码。LDAP 目录服务器使用此名称和密码来认证 Domino® 服务器。如果未指定名称和密码,Domino® 服务器将尝试匿名连接。
单击验证可打开一个对话框,在其中可验证输入的用户名和密码是否在每个主机名上有效。
此设置可能会影响 LDAP 服务器的更改检测。
有关在“目录辅助”文档中为 LDAP 目录指定 Domino® 服务器的名称和密码的更多信息,请参阅相关主题。
用于搜索的基本 DN
搜索条件(如果 LDAP 目录服务器需要)。例如:
o=Ace Industryo=Ace Industry,c=US单击建议可打开一个对话框,在其中可根据可能的搜索条件来搜索每个主机名。
单击验证可打开一个对话框,在其中可使用配置的凭证来验证搜索条件是否在每个主机名上都可进行访问。
此设置可能会影响 LDAP 服务器的更改检测。有关更改检测的特殊注意事项的更多信息,请参阅相关主题。
“连接配置”部分 通道加密
选择以下某个选项:
- TLS(缺省值),在 Domino® 服务器连接到远程 LDAP 目录服务器时使用 TLS
- 无,禁止使用 TLS。
如果是使用远程 LDAP 目录进行客户机认证或查找用于数据库授权的组成员,请使通道加密字段中的 TLS 保持选中。
如果选择了 TLS,请在下列相关字段中做出选择:
- 接受到期的 SSL 证书
- 使用远程服务器的证书验证服务器名称
有关在“目录辅助”文档中为远程 LDAP 目录配置 TLS 的更多信息,请参阅相关主题。
端口
Domino® 服务器用于连接到远程 LDAP 目录服务器的端口号。
- 如果在通道加密字段中选择 TLS,那么缺省端口为 636。
- 如果在通道加密字段中选择无,那么缺省端口为 389。
如果 LDAP 目录服务器未使用这些缺省端口,请手动输入不同的端口号。
“高级选项”部分 超时
允许搜索远程 LDAP 目录的最长时间(秒);缺省值为 60 秒。
如果远程 LDAP 目录服务器也配置了超时值,那么较小的值优先。
返回的最大条目数
LDAP 目录服务器可以为 Domino® 服务器搜索的名称返回的最大条目数。如果 LDAP 目录服务器也有最大值设定,那么较小的值优先。如果 LDAP 目录服务器超时,将返回到该时刻为止所找到的名称的数目。
缺省值为 100。
搜索时的别名取消引用
选择以下某个选项以控制搜索远程 LDAP 目录时的别名解除引用范围:
- 从不废弃
- 仅允许下级条目
- 仅允许搜索基本条目
- 总是(缺省值)
如果 LDAP 目录中未使用别名,那么选择从不可以提高搜索性能。
有关在“目录辅助”文档中配置别名解除引用的更多信息,请参阅相关主题。
首选邮件格式
如果将目录辅助设置为允许 Notes® 用户向 LDAP 目录中用户发送邮件,请使用此选项来指定要在 Notes® 邮件中使用的目录中的地址格式。选择以下某个选项:
- Notes 邮件地址 - 例如,
John Doe/Renovations@Renovations。通常,仅当 LDAP 目录为 Domino® 目录时才可以使用此选项。 - 因特网邮件地址(缺省值) - 例如,
jdoe@renovations.com。
有关目录辅助和 Notes 邮件寻址的更多信息,请参阅相关主题。
启用名称映射 此复选框允许目录辅助将 Domino® DN 属性映射到其在 LDAP 目录中的 DN 属性。缺省情况下禁用此选项。
使用此复选框启用名称映射时,新字段用于所有查找的属性和现有字段用作 Notes 专有名称的属性都会显示。
注: 启用此复选框还需要在保存表单之前,在现有字段用作 Notes 专有名称的属性中输入值,或者接受缺省值 (Notes DN)。有关通过 Active Directory 管理 Domino® 用户时的用户名映射的更多信息,请参阅相关主题。
用作 Notes® 专有名称的属性
如果 Domino® 服务器使用远程 LDAP 目录进行客户机认证或数据库授权,那么可以选择将用户的 LDAP 目录专有名称映射到相应的 Notes® 专有名称。
单击验证可打开一个对话框,在其中可使用指定的库下配置的凭证来验证是否每个主机名上至少有一个包含 Notes® DN 属性的对象。
有关在远程 LDAP 目录中使用 Notes® 专有名称的更多信息,请参阅相关主题。
用于所有查找的属性 选择是或否。
缺省情况下,启用名称映射复选框启用时,此值会设置为否,并且仅针对因特网/Web 认证启用名称映射。
对于此字段,选择是,并与用作 Notes 专有名称的属性组合使用,支持将 Domino® 名称映射用于所有目录搜索,而不仅仅是因特网/Web 认证。
要使用的搜索过滤器类型
选择以下某个选项,以控制搜索目录时使用哪种 LDAP 搜索过滤器。
标准 LDAP 适用于大多数情况。
单击建议可打开一个对话框,在其中可针对最有可能使用的搜索过滤器类型搜索每个主机名。
单击验证可打开一个对话框,在其中可验证所选搜索过滤器类型是否适合每个主机名。
注: 选项 Domino LDAP 和 IBM Directory Server 允许 LDAP 网关利用属于指定 LDAP 服务器的任何特殊功能。一旦确定这些功能,LDAP 客户机就可以决定是否要利用这些功能。例如,LDAP 服务器可以在其根目录服务器条目 (DSE) 中提供新属性,以支持 LDAP 客户机直接检测 dominoAccessGroups 功能。有关在“目录辅助”文档中配置搜索过滤器的更多信息,请参阅相关主题。
- 单击保存并关闭。
下一步做什么
- 等待服务器将更改复制到使用目录辅助数据库的所有服务器,或强制复制。
- 使用 Restart Server 控制台命令停止并重新启动使用目录辅助进行组授权的每台服务器,以便每台服务器都能检测到更改。