目录服务

数据库授权的目录服务和群组查找
如果数据库 ACL(存取控制列表)中包含位于服务器主 Domino 目录中的群组,则服务器在为用户授予数据库访问权限时,可以自动查找该群组中的成员。可以将用于数据库授权的群组存储到主 Domino 目录之外的其他目录中。此目录可以是辅助 Domino 目录、扩展目录编目或远程 LDAP 目录。请注意,如果主 Domino 目录和其他目录中都包含用于数据库授权的同名群组,服务器将使用主 Domino 目录中的群组。

要使用其他目录进行群组授权,请在该目录的“Directory Assistance”文档中执行下列操作:


下图说明了在远程辅助 Domino 目录中查找用于数据库授权的群组的过程。

目录服务和群组授权

提示 为扩展目录编目启用“群组授权”可以将用于数据库授权的群组存储在多个辅助 Domino 目录中,只要将这些目录集合到目录编目中即可。

客户机验证进程结束后,服务器将检验客户机对数据库的访问权限。可以为客户机验证和群组授权使用不同的目录。例如,可以使用远程 LDAP 目录进行客户机验证,而使用扩展目录编目在数据库授权过程中查找群组。

注意 如果为远程 LDAP 目录启用了群组授权,可以为服务器选择定制的搜索过滤器用于群组搜索。

用于数据库授权的嵌套群组

进行数据库访问权限授权时,服务器可以搜索数据库 ACL 列表中列出的群组中的嵌套群组,以及嵌套在嵌套群组中的群组,依此类推,只要所有的群组都位于同一目录下。

如果为辅助 Domino 目录或扩展目录编目启用了群组授权,服务器将始终搜索该目录中的嵌套群组。如果为远程 LDAP 目录启用了群组授权,则可使用“嵌套群组扩展”选项来控制服务器是否搜索嵌套群组。选择“是”(缺省值)将搜索嵌套群组,选择“否”将阻止搜索嵌套群组。如果有大量嵌套群组,选择“否”可以提高搜索性能。

请注意,对于嵌套群组的搜索,Domino 不应用目录服务名称规则。有时,群组的 DN 与为辅助目录建立的名称规则相匹配,但是该群组成员(用户或嵌套群组)的 dn 与之不匹配。如果不应用目录服务名称规则,则可以避免此问题,并可使搜索为任何搜索请求返回完整的名称列表。

对用于数据库授权的群组所作的场所限制不适用于用作其他用途的群组。例如,路由器可以搜索为目录服务所配置的任何目录中的群组,并可搜索嵌套群组,即使这些嵌套群组与其父群组位于不同的目录中。

另请参阅