配置对目录的匿名 LDAP 搜索访问权
如果 LDAP 服务的 TCP/IP 和/或 TLS 端口配置允许,那么可以允许对目录进行匿名 LDAP 访问。
If the TCP/IP and/or TLS port configuration for the LDAP service allows anonymous LDAP access, use one of these methods to specify which information anonymous LDAP users can search in an HCL Domino® Directory or an Extended Directory Catalog served by the LDAP service:
- 域配置设置文档
- 数据库 ACL/扩展 ACL
您可以分别为 LDAP 服务使用的每个目录指定匿名搜索访问权。
域配置设置文档
The default method used to determine search access for anonymous LDAP users is the Choose fields that anonymous users can query via LDAP setting on the LDAP tab of a domain Configuration Settings document in a Domino® Directory or Extended Directory Catalog.即使您没有创建文档,LDAP 服务也会将此文档中的缺省设置用作缺省的匿名搜索访问权。
您可以修改选择匿名用户可通过 LDAP 查询的字段设置以定制匿名 LDAP 用户的搜索访问权。
数据库 ACL/扩展 ACL
您可以使用数据库 ACL 以及扩展 ACL(而不是使用域“配置设置”文档)定义对目录的匿名 LDAP 搜索访问权。
选择要使用的方法
与域“配置设置”文档相比,数据库 ACL/扩展 ACL 是控制匿名 LDAP 搜索访问权的更灵活的方法。例如,当您使用域“配置设置”文档允许或拒绝对属性的访问时,该访问权将应用于包含该属性的所有条目。但是,当使用数据库 ACL/扩展 ACL 时,可以拒绝对目录树特定分支条目中所包含属性进行访问,但允许对其他分支条目中所包含的相同属性进行访问。或者,可以拒绝对整个目录中特定类型条目中的属性进行访问,但允许对另一类型目录条目中的该属性进行访问。
但是,如果使用无法应用于域“配置设置”文档的扩展访问权,有可能导致潜在问题。 For example, after you enable extended access, you can make directory changes only on a directory replica located on a Domino® 6 or later server. You cannot make such changes on releases earlier than Domino® 6. ACL method also causes database security to be enforced for HCL Notes® namelookups, such as type-ahead lookups.如果域“配置设置”文档方法已能满足需要,那么可以改为使用此方法。