目录服务
如果 LDAP 服务所使用的“目录服务”数据库中的目录有“Directory Assistance”文档,且在该文档“Basics”附签上的“Make this domain available to”域中选择了“LDAP Clients”,则 LDAP 服务可以使用辅助 Domino 目录或扩展目录编目来处理 LDAP 客户机请求。要防止 LDAP 服务在处理 LDAP 客户机请求时使用 Domino 目录或扩展目录编目,请不要在该目录的“Directory Assistance”文档中选择“LDAP Clients”。为目录配置的命名规则将会影响 LDAP 服务使用目录。
可以单独控制 LDAP 客户机对 LDAP 服务所使用的每个目录的访问权限。例如,可以允许 LDAP 用户匿名访问某个目录中的特定属性,但不能访问另一个目录中的属性。
如果 Domino 目录或扩展目录编目是远程目录,远程服务器则不必运行 LDAP 服务。要使用远程目录处理 LDAP 搜索请求,如果存在下列情况之一,则远程服务器上的目录 ACL 必须通过“服务器群组”或“服务器”用户类型项为运行 LDAP 服务的服务器授予“读者”存取级别:
LDAP 服务不处理对远程 Domino 目录或扩展目录编目的写入操作,而是向客户机返回指向该目录的管理服务器的 LDAP 参考;如果没有管理服务器,则会返回指向存储远程复本(在“目录服务”数据库中指定)的服务器的 LDAP 参考。无论远程服务器是否运行 LDAP 服务,此参考都会出现。
有关在“目录服务”数据库中配置的 Domino 目录和扩展目录编目的命名规则如何影响 LDAP 服务的详细信息,请参阅本章后面的“命名规则和 LDAP 服务”主题。有关如何控制对目录的 LDAP 访问权限的信息,请参阅“设置 LDAP 服务”一章。
注意 还可以使用目录服务防止 LDAP 服务搜索其自己的主 Domino 目录。
对远程 LDAP 目录的 LDAP 服务参考
如果 LDAP 服务在主 Domino 目录、精简目录编目或者在“目录服务”数据库中配置的 Domino 目录或扩展目录编目中无法找到 LDAP 客户机要搜索的信息,则将客户机指向远程 LDAP 目录。请在远程 LDAP 目录的“Directory Assistance”文档“Basics”附签上的“Make this domain available to”旁选择“LDAP Clients”。如果防止 LDAP 服务将客户机指向该目录,请不要选择“LDAP Clients”。
要返回参考,Domino LDAP 服务需要使用远程 LDAP 目录的“Directory Assistance”文档中的信息。参考符合 LDAP v3,并包括下列内容:
某些 LDAP 客户机可以接受多个参考,这样,如果某个参考中指定的主机名不可用,客户机可以尝试使用另一个。缺省情况下,对于给定的搜索,LDAP 服务只能将 LDAP 客户机指向一个远程 LDAP 目录主机名。如果使用 LDAP 服务的 LDAP 客户机可以接受多个参考,可以使用 LDAP 服务配置中的“最大参考数”设置来增加 LDAP 服务可以返回的参考数。
另请参阅