目录服务
要使服务器能够使用在目录服务数据库中配置的目录进行 Internet 客户机验证,请在“Directory Assistance”文档中对该目录执行下列操作:
注意 服务器的主 Domino 目录对于客户机验证始终处于启用状态。即使为主 Domino 目录创建“Directory Assistance”目录服务”文档且不选择“Make this domain available to:Notes clients and Internet Authentication/Authorization”时也是如此。
注意 可以使用“Internet 站点”文档或“服务器”文档中的“端口”“Internet 端口”附签,来控制 Internet 协议服务器所允许的客户机验证类型。
名称和口令验证可以接受的名称
如果服务器使用名称和口令安全机制来验证 Internet 客户机,请选择服务器可以从客户机接受的名称类型。请在主 Domino 目录中“服务器”文档的“安全性”“Internet 访问”附签上选择“较多名称变化,较低安全性”或“较少名称变化,较高安全性”(缺省)。此选项适用于使用任何目录(包括主 Domino 目录)的名称和口令验证。
尽管服务器可以从客户机接受专有名称之外的名称用于在目录中搜索用户项,但却始终以目录项中该用户的专用名称与“Directory Assistance”文档中的可信任规则进行比较,以决定是否验证该客户机。例如,假设某个用户在目录中以专有名称 cn=alice browning,o=Acme 注册,但在客户机上配置的名称却是 alice browning。在验证过程中,服务器会搜索包含名称 alice browning 的项。找到该项后,服务器仅在 "cn=alice browning,o=acme" 符合该目录的可信任命名规则时才对该客户进行验证。
此外,用户的专有名称还被用作 Domino 中的存取控制基础,因此应该在数据库 ACL、数据库 ACL 中使用的群组、“服务器”文档中的存取控制列表以及 Web 服务器的“文件保护”文档中使用用户的专有名称。
客户机验证过程中遇到重复的名称
如果服务器在一个或多个目录内发现多个包含客户机所提供的名称(对应于要验证的有效专有名称)的目录项,服务器将验证具有有效口令或 X.509 验证字的客户机。如果找到多个具有有效口令或 X.509 验证字、并且有相同专有名称的项目,服务器将验证使用它所找到的第一个口令或 X.509 验证字的用户。
在协议间使用一致的客户机名称和口令
如果 Domino 服务器要验证通过多个 Internet 协议的客户机,为简化目录管理,可为该客户机创建一个具有适用于全部协议的名称和口令的目录项。然后设置该客户机对所有协议使用相同的名称和口令。
例如,如果某个客户机通过 HTTP 连接到 Domino 以进行 Web 浏览,但通过 LDAP 连接到 Domino 以使用目录服务,则可为该客户机创建一个仅有一个名称和口令的目录项,然后设置客户机对这两类连接都使用该名称和口令。
使用远程 LDAP 目录进行客户机验证时的可用功能
下列功能专门用于使用远程 LDAP 目录进行客户机验证:
缺省情况下,服务器在验证 Notes 客户机时,不会使用“Domino Directory Person”文档中的信息。但是,如果在服务器的“服务器”文档中的“基本”附签上启用了“与保存在通讯录中的 Notes 公用密钥比较”选项,服务器仅在 Notes 客户机提供的公用密钥与 Notes 用户“个人”文档中的公用密钥一致时,才会验证该用户。
如果连接到服务器的 Notes 用户是在服务器的辅助 Domino 目录而不是主 Domino 目录中注册的,且该用户所连接的服务器上启用了“与保存在通讯录中的 Notes 公用密钥比较”选项,则必须在“Directory Assistance”文档中选中“Make this domain available to: Notes clients and Internet Authentication/Authorization”选项,以便服务器可以执行公用密钥比较。此“Directory Assistance”文档可以属于下列目录: