目录服务
使用扩展目录编目进行客户机验证
要使服务器能使用扩展目录编目查找客户机名称以进行验证,请在扩展目录编目的“Directory Assistance”文档中启用信任证书的规则。
另外,如果没有按照推荐的做法将文档中的所有域集合进来,请确保集合了验证所必需的那些域。例如,要使用名称和口令安全性,请集合“个人”文档中的 HTTPPassword 域。或者如果要使用 X.509 验证字安全性,请集合 userCertificate 域。
如果需要服务器使用某些辅助 Domino 目录,而不使用另外一些目录来进行 Internet 客户机验证,可以创建一个扩展目录编目,集合用于验证的 Domino 目录,创建另一个扩展目录编目,集合其他 Domino 目录。然后为每个扩展目录编目都创建一个“Directory Assistance”文档,并仅在集合了用于验证的目录的扩展目录编目中启用信任证书的规则。
使用精简目录编目进行客户机验证
要使服务器能查找集合在精简目录编目中的任意用户名的验证证书,请在 Domino 目录中,在服务器的“服务器”文档的“基本”附签中选择“在针对下列 Internet 协议进行身份验证时信任该服务器上的精简目录编目”选项。
要使服务器仅能从集合到精简目录编目中的一个或几个源 Domino 目录中查找用户名的证书,请不要选择上述选项。相反,应该在服务器上创建“目录服务”数据库。在数据库中,为已集合的、希望用于验证的每个 Domino 目录创建“Directory Assistance”文档。在每个“Directory Assistance”文档中,启用信任证书的规则。
如果使用名称和口令安全性进行 Internet 客户机验证,可以将口令存储在精简目录编目中。要完成此操作,请集合“个人”文档中的 HTTPPassword 域。这样,服务器就可以从目录编目中查找口令,而不需要目录服务从源 Domino 目录中进行查找。
如果使用 X.509 验证字进行客户机验证,出于大小考虑,建议不要将验证字存储在精简目录编目。相反,应该设置目录服务以直接在源 Domino 目录中查找验证字。同样,服务器也可以使用目录服务在源 Domino 目录中查找口令,而不将口令集合到目录编目中,以使精简目录编目保持较小。
如果未在目录编目中存储口令和 X.509 验证字,结合使用目录编目和目录服务比单独使用目录服务要快,因为只需要使用一个数据库(即目录编目)来查找名称。
目录编目与 Notes 客户机验证
缺省情况下,如果 Notes 客户机登录服务器,在客户机验证过程中,服务器不会在 Domino 目录“个人”文档中查找信息。但是,如果服务器的“服务器”文档中启用了“与保存在通讯录中的 Notes 公用密钥比较”选项,则服务器必须能够在“个人”文档中查找公用密钥信息以验证 Notes 客户机。如果 Notes 用户使用启用了此选项的服务器,且他们未在服务器的主 Domino 目录中注册,则服务器可以使用启用了证书信任的目录编目查找名称,以进行公用密钥比较。
另请参阅