目录服务

在远程 LDAP 目录的“Directory Assistance”文档中配置 SSL
如果 Domino 服务器使用远程 LDAP 目录在 Internet 客户机验证时查找证书,或在数据库授权时查找群组成员,请指定服务器在连接到 LDAP 目录服务器时使用 SSL。指定 SSL 可使 Domino 服务器和 LDAP 服务器之间进行安全的通信,并且 Domino 服务器可以使用 X.509 验证字来验证远程 LDAP 目录服务器的标识。

要使用 SSL,请在远程 LDAP 目录的“Directory Assistance”文档中“LDAP”附签上的“通道加密”域中选择 SSL。如果选择了 SSL,还必须在三个相关域中作出选择:


“接受到期的 SSL 验证字”

在“接受到期的 SSL 验证字”域中选择下列选项之一:


“SSL 协议版本”

在“SSL 协议版本”域中,可选择要使用的 SSL 协议的版本号,如下所示:
SSL 协议版本描述
仅 V2.0仅允许 SSL 2.0 连接。
V3.0 握手尝试 SSL 3.0 连接。如果连接失败,且请求者检测到了 SSL 2.0,则尝试使用 SSL 2.0 进行连接。
仅 V3.0仅允许 SSL 3.0 连接。
V3.0 V2.0 握手 尝试 SSL 3.0 连接,但以 SSL 2.0 握手开始,SSL 2.0 将显示相关的错误消息。如果可以,则建立 SSL 3.0 连接。选择“V3.0 与 V2.0 握手”将会收到连接尝试时可能出现的 V2.0 错误消息。这些错误消息可以提供有关兼容性问题(在连接过程中发现的)的信息。
协商允许 SSL 确定协议版本和握手。

“使用远程服务器的验证字验证服务器名称”
在“使用远程服务器的验证字验证服务器名称”域中选择下列选项之一:


选择“启用”将要求远程服务器验证字的主题行中包含 LDAP 目录服务器的主机名。要使此选项功能正常,远程服务器验证字的主题行中必须包含其 DNS 主机名。如果肯定远程 LDAP 目录服务器的 X.509 验证字中包含正确格式的远程服务器主机名,请保持启用此选项。

Domino CA 和其他一些 CA 将会提供一个对话框,用户在申请验证字时可以在此对话框中输入主题行。例如,Domino CA 提示每个用户输入远程服务器信息,如公用名称、组织单元名称、组织名称、省和国家名称。Domino CA 将此信息放入主题行,并向每个域中添加适当的前缀(cn=、ou=、o= 等等)。如果已使用 Domino CA 创建了远程服务器的验证字,在使用“使用远程服务器的验证字验证服务器名称”选项时,请在“公用名称”域中输入远程服务器的主机名。例如,Domino CA 允许用户输入下列有效的主题行(mailserver.acme.com 是服务器的 DNS 主机名):


要确保用户正确地输入 DNS 主机名,当用户从 Domino CA 请求验证字时,建议将 DNS 主机名作为公用名称 (cn=) 输入。其他 CA 可能会提供不同的对话框用于输入主题行;用户必须根据这些对话框输入远程服务器的 DNS 主机名。

另请参阅