dominoAccessGroups 操作属性

dominoAccessGroups 操作属性可返回 LDAP DN,表示对象所属的安全性 (ACL) 组。

使用 dominoAccessGroups 可以提高性能,因为使用此属性时只需要一个 LDAP 请求/响应,而与对象所属的组及其嵌套组的数量无关。Domino® LDAP 服务器可以利用现有组高速缓存(对于名称列表)。

如果使用了 dominoAccessGroups,那么其他 LDAP 客户机应用程序无需执行递归搜索,从而降低应用程序的复杂性。

LDAP 客户机应确定 LDAP 服务器是否将通过查询根 DSE 的 ibm-enabledCapabilities 属性提供 dominoAccessGroups,并检查是否支持 dominoAccessGroups 的 OID (2.16.840.1.113678.2.2.2.2.1355)。

[C:\] ldapsearch -h hostname -s base "(objectclass=*)" ibm-enabledCapabilities
 
ibm-enabledcapabilities=2.16.840.1.113678.2.2.2.2.1354
ibm-enabledcapabilities=2.16.840.1.113678.2.2.2.2.1355

有关 ibm-ibm-enabledCapabilities 属性的更多信息,请参阅 LDAP 根 DSE 属性。

虽然组成员资格的总体计算速度比使用 dominoAccessGroups 快,但现在单一搜索可能超出先前每个多嵌套组搜索使用的 LDAP 超时。如果发现返回 dominoAccessGroups 的搜索正在超时,请增加“缺省配置”文档中 Domino® 域的“LDAP 超时”的值。