使用扩展目录编目进行客户机认证的方案
下表描述在服务器上配置扩展目录编目以支持客户机认证的各种方式,具体取决于您希望服务器在多大程度上信任已聚集的 Domino® 目录以进行认证。
这些方案中假定:
- S1、S2、S3 和 S4 是域中服务器的名称
- A、B、C 和 D 分别是组织的四个域的 Domino® 目录的名称。
- A、B、C 和 D 中的每个名称都是以下某个名称空间的一部分:west/renovations、east/renovations、north/renovations、south/renovations。名称空间在 A、B、C 和 D 之间重叠。
- DA = Directory Assistance(目录辅助)
- EDC = Extended directory catalog(扩展目录编目)
认证目的 |
如何使用扩展目录编目实现 |
---|---|
认证时,S1、S2、S3、S4 信任 A、B、C、D 中的全部名称。 |
将 A、B、C 和 D 聚合到一个 EDC 中。创建一个所有服务器共用的 DA 数据库。为 EDC 创建一个 DA 文档,使其启用 */*/*/*/*/* 命名规则并信任证书。 |
认证时,S1、S2、S3、S4 不信任 A、B、C、D 中的任何名称。 |
对于上述认证目标,将 A、B、C 和 D 这四个目录聚集到一个 EDC 中,并创建一个 DA 数据库供所有服务器使用。但是,不要在 EDC 的 DA 文档中启用信任凭证的规则。 |
认证时,S1、S2、S3、S4 信任 A 和 B 中的全部名称,但不信任 C 和 D 中的名称。 |
将 A 和 B 聚合到 EDC1 中,将 C 和 D 聚合到 EDC2 中。创建一个所有服务器共用的 DA 数据库。为 EDC1 创建一个 DA 文档,使其启用 */*/*/*/*/* 命名规则并信任证书。为 EDC2 创建一个 DA 文档,使其启用 */*/*/*/*/* 命名规则但不信任证书。 |
S1、S2、S3、S4 仅信任以 west/renovations 或 east/renovations 结尾的名称,无论是哪个 Domino® 目录包含该名称。 |
将 A、B、C 和 D 聚合到一个 EDC 中。创建一个所有服务器共用的 DA 数据库,并为 EDC 创建一个 DA 文档。在 DA 文档中,创建规则 */*/*/west/renovations/* 和规则 */*/*/east/renovations/*,并为这两个规则启用凭证信任。请不要信任其他任何命名规则的证书。 |
S1 和 S2 仅信任并使用 A 和 B 中的名称。 S3 和 S4 仅信任并使用 C 和 D 中的名称。 |
将 A 和 B 聚合到 EDC1 中。创建一个 DA 数据库 DA1,然后在其中为 EDC1 创建一个 DA 文档,使其启用 */*/*/*/*/* 命名规则并信任证书。设置 S1 和 S2 使用 DA1。 将 C 和 D 聚合到 EDC2 中。创建另一个 DA 数据库 DA2,然后在其中为 EDC2 创建一个 DA 文档,使其启用 */*/*/*/*/* 命名规则并信任证书。设置 S3 和 S4 使用 DA2。 |