目录服务

目录服务和命名规则
为目录配置目录服务时,应至少定义一个与目录中的用户名称相对应的命名规则。命名规则基于 X.500 专有名称模型。此模型使用国家(c)、组织(o)和组织单元(ou)的目录树名称层次结构,将名称分为几个部分,这些部分组合起来即可代表目录树中的唯一场所。这也是 Domino 和 Notes 传统上使用的命名模型。

每个目录服务命名规则都包括六个部分,每个部分包含下列内容之一:


通常为目录指定全星号规则 (*/ */ */ */ */ */ *),以表示目录中的所有名称。但是,如果目录服务中配置的目录使用离散的名称层次结构,则应为目录定义与层次结构相对应的规则,这样,服务器在搜索特定名称时可以针对特定的目录。

例如,假定目录 A 和目录 B 都在某个“目录服务”数据库中配置。目录 A 中的名称放在 o=acme, c=us 下,因此为其指定规则:*/ */ */ */ acme/us;而目录 B 中的名称放在 o=acme,c=fr下,因此为其指定规则:*/ */ */ */ acme/fr。要查找名称 cn=jack brown,o=acme,c=fr,服务器将仅搜索目录 B,而不搜索目录 A;而要查找名称 cn=joan brown,o=acme,c=us,服务器将仅搜索目录 A,而不搜索目录 B。

这种类型的目标目录搜索可能在下列情况下发生:


要查找平级名称(没有专有名称部分)或处理未指定搜索条件的 LDAP 搜索请求,服务器将忽略命名规则,并按照在“Directory Assistance”文档中为该目录指定的搜索顺序搜索目录。

注意 某些 LDAP 目录不使用国家(c)、组织(o) 和组织单元(ou)命名模型。如果为这样的 LDAP 目录设置目录服务,请为其使用全星号命名规则。

可信任的命名规则

Internet 客户机将登录名称传递给服务器以启动验证时,要让服务器在“目录服务”数据库中配置的目录中查找该名称,该目录应至少有一条经过配置的“按证书信任”命名规则,即所谓的可信任规则。如果客户机的登录名称是层次名称,则除主 Domino 目录之外,服务器只会在可信任规则与客户机登录名称匹配的目录中查找该名称。如果客户机登录名称是平级名称,例如 John Smith,服务器将在具有可信任规则的所有目录中查找该名称。

在某个目录的用户项中找到客户机登录名称时,服务器会将为该用户项指定的专有名称与为该目录定义的可信任规则进行比较。仅当专有名称与可信任规则匹配时,服务器才会验证客户机。如果使用远程 LDAP 目录进行客户机验证,并将 Notes 专有名称添加到该目录中,则 Notes 专有名称(而不是原来的 LDAP 专有名称)必须与该目录的可信任规则相匹配。

命名规则样例

下表列出了命名规则的样例,以说明每个规则如何将下列名称包含在内或排除在外:

另请参阅