规划 LDAP 服务
运行 LDAP 任务的 HCL Domino®服务器充当 LDAP 目录服务器处理来自 LDAP 客户机的请求。这些请求可以来自拥有内置 LDAP 支持以检索目录信息的普通 Web 浏览器客户机,也可以来自设计用于搜索和管理目录信息的定制 LDAP 应用程序。
关于此任务
规划 LDAP 服务时您可能会提出下列问题:
- 需要使用哪种级别的 LDAP 客户机认证?缺省启用的是匿名访问,即允许 LDAP 客户机在连接时不提供名称和认证证书(如密码和证书等)。通常应该仅允许匿名连接的 LDAP 客户机对目录拥有“读者”访问级别。
- 是否应该使用扩展 ACL 控制对目录的 LDAP 访问?扩展 ACL 可提供比数据库 ACL 更细化的目录访问控制。如果使用扩展 ACL,数据库 ACL 和扩展 ACL 可控制匿名 LDAP 搜索访问,以及对支持的其他客户机协议的匿名访问。如果不使用扩展 ACL,“配置设置”文档将控制匿名 LDAP 搜索访问。
- 是否应该为 Domino® 目录创建全文索引?如果您的 LDAP 客户机通常使用搜索名称或邮件地址的搜索过滤器,则不必为目录创建全文索引。如果 LDAP 客户机使用其他类型的搜索过滤器,则建议您为目录创建全文索引,以使 LDAP 服务可以通过搜索全文索引更快地处理这些类型的请求。
- 是否需要扩展模式以添加新的对象类或属性支持?如果您的公司中拥有搜索应用程序特有信息的 LDAP 应用程序,则可能需要扩展模式。可以通过使用“Domino® LDAP 模式”数据库 (schema.nsf) 或者向目录中添加表单和字段来扩展模式。建议使用“模式”数据库。
为 LDAP 服务规划目录辅助
关于此任务
可以在运行 LDAP 服务的服务器上设置目录辅助,以使 LDAP 服务可以将客户机 LDAP 请求扩展到辅助 Domino® 目录或远程 LDAP 目录。设置 LDAP 服务以便将目录辅助用于辅助 Domino® 目录时要考虑以下问题:
- 您需要 LDAP 客户机对辅助 Domino® 目录具有哪种权限?分别控制对 LDAP 服务所服务的每个 Domino® 目录或扩展目录编目的 LDAP 访问。
- 如果使用定制 LDAP 应用程序管理目录,则只有当目录存储在运行 LDAP 服务的服务器本地时,LDAP 服务才会允许该应用程序修改目录。如果辅助 Domino® 目录存储在远程服务器上,LDAP 服务可能改为返回一个对该服务器的参考,或者自己处理 LDAP 操作。
设置 LDAP 服务,以便使用目录辅助将 LDAP 客户机指向远程 LDAP 目录时要考虑以下问题:
- LDAP 服务永远不能在远程 LDAP 目录中处理 LDAP 搜索以及添加或修改请求。它只能将 LDAP 客户机指向远程 LDAP 目录。
- 缺省情况下,LDAP 服务只能为指定的 LDAP 客户机返回一个对远程 LDAP 目录的参考。如果需要使 LDAP 服务将多个参考返回给 LDAP 客户机,以便当第一个参考中指定的目录服务器不可用时,LDAP 客户机可以使用备用参考,必须增大 LDAP 服务的最大参考数设置。
- 可以在一个 Directory Assistance 文档中为远程 LDAP 目录指定备用的 LDAP 目录以备参考。
注: LDAP 服务与任何 Domino® 因特网协议服务器一样,可以使用目录辅助认证使用辅助目录中证书的客户机以及在辅助目录中使用组以便进行数据库授权。