在遠端 LDAP 目錄的目錄協助文件內設定 TLS

如果 HCL Domino® 伺服器使用遠端 LDAP 目錄在網際網路用戶端鑑別期間查閱認證,或在資料庫授權期間查閱群組成員,請指定伺服器使用 TLS 連接至 LDAP 目錄伺服器。指定 TLS,以確保 Domino® 伺服器與 LDAP 伺服器之間的通訊安全,而且 Domino® 伺服器可使用 X.509 憑證來驗證遠端 LDAP 目錄伺服器的身分。

執行這項作業的原因和時機

若要使用 TLS,請在遠端 LDAP 目錄之「目錄協助」文件的 LDAP 標籤上,於通道加密欄位中選取 TLS。選取 TLS 時,您也必須為這些相關聯欄位做出選擇:

  • 接受過期 TLS 憑證
  • 使用遠端伺服器的憑證來驗證伺服器名稱

程序

  1. 接受過期 TLS 憑證欄位中,選擇其中一項:
    • 」-(預設值)接受來自 LDAP 目錄伺服器的憑證,即使該憑證已到期。
    • 」- 拒絕到期的憑證,提供更嚴密的安全性。
  2. 在「使用遠端伺服器的憑證來驗證伺服器名稱」欄位中,選擇其中一項:
    • 已啟用」預設值)
    • 取消

    選擇「已啟用」,要求在遠端伺服器憑證的主旨行中包括 LDAP 目錄伺服器主機名稱。若要此選項正常運作,遠端伺服器憑證的主體行必須包括其 DNS 主機名稱。如果您確定遠端 LDAP 目錄伺服器的 X.509 憑證包含正確格式的遠端伺服器主機名稱,那麼請保持啟用此選項。

    Domino® CA 與一些其他的 CA 會提供對話框,讓使用者於申請憑證時在其中輸入主旨行。例如,Domino®CA 會提示每一位使用者輸入遠端伺服器的資訊,如共同名稱、組織單位名稱、組織名稱、州(省)及國家/地區名稱。Domino® CA 會將此資訊放進主體行,並在每一個欄位中新增適當的字首(cn=、ou=、o= 等等)。如果已使用 Domino® CA 建立遠端伺服器憑證,請在使用「使用遠端伺服器憑證來驗證伺服器名稱」選項時,在共同名稱欄位中輸入遠端伺服器的主機名稱。例如,Domino®CA 容許使用者輸入下列有效主旨行(mail伺服器.renovations.com 是伺服器的 DNS 主機名稱):

    cn=mail伺服器.renovations.com, ou=sales, ou=marketing, o=renovations, st=mass, c=us

    cn=mail伺服器,ou=sales - mail伺服器.renovations.com o=renovations, st=mass, c=us

    若要確保使用者輸入正確的 DNS 主機名稱,建議使用者在從 Domino® CA 申請憑證時輸入主機名稱作為共同名稱 (cn=)。其他 CA 可能會提供不同對話框讓您輸入此主體行;使用者必須依照這些對話框輸入遠端伺服器的 DNS 主機名稱。