目录服务

配置对目录的匿名 LDAP 搜索权限
如果 LDAP 服务的 TCP/IP 和/或 SSL 端口配置允许匿名 LDAP 访问,请使用下列工具之一指定匿名 LDAP 用户可以在应用 LDAP 服务的 Domino 目录或扩展目录编目中搜索哪些信息:
您可以分别为 LDAP 服务使用的每个目录指定匿名搜索权限。

注意 始终使用目录数据库“ACL”以及“扩展 ACL”(可选),控制已验证 LDAP 用户的目录访问和防止匿名 LDAP 用户修改目录。

网络域配置设置文档

在 Domino目录或扩展目录编目的网络域“配置设置”文档的“LDAP”附签中,“选择匿名用户可通过 LDAP 查询的域”设置是用来确定匿名 LDAP 用户搜索权限的缺省方法。即使您没有创建文档,LDAP 服务也会将此文档中的缺省设置用作缺省的匿名搜索权限。

您可以修改“选择匿名用户可通过 LDAP 查询的域”设置以定制匿名 LDAP 用户的搜索权限。

数据库 ACL/扩展 ACL

您可以使用数据库 ACL 以及扩展 ACL(而不是使用网络域“配置设置”文档)定义对目录的匿名 LDAP 搜索权限。

选择要使用的方法

与网络域“配置设置”文档相比,数据库 ACL/扩展 ACL 是控制匿名 LDAP 搜索权限的更灵活的方法。例如,当您使用网络域“配置设置”文档允许或拒绝对属性的访问时,该权限将应用于包含该属性的所有项。但是,当使用数据库 ACL/扩展 ACL 时,可以拒绝对目录树特定分支项中所包含属性进行访问,但允许对其他分支项中所包含的相同属性进行访问。或者,可以拒绝对整个目录中特定类型项中的属性进行访问,但允许对另一类型目录项中的该属性进行访问。

但是,如果使用无法应用于网络域“配置设置”文档的扩展权限,有可能导致潜在问题。例如,启用扩展权限之后,您只能对 Lotus Domino 6 目录复本上的目录进行更改,而不能对先前版本 Domino 服务器上的目录进行更改。数据库 ACL/扩展 ACL 方法还会导致对 Notes namelookup(如快速寻址)强制应用数据库安全性。如果网络域“配置设置”文档方法已能满足需要,则可以改为使用该方法。

另请参阅