Configuration de SSL dans un document Assistance d'annuaire pour un annuaire LDAP distant

Si un serveur HCL Domino® utilise un annuaire LDAP distant pour rechercher les données d'identification lors de l'authentification du client Internet ou des membres de groupes lors de l'autorisation de base de documents, indiquez que le serveur doit utiliser SSL pour se connecter au serveur d'annuaire LDAP. Configurez cette option afin que les communications entre le serveur Domino® et le serveur LDAP soient sécurisées et que le serveur Domino® puisse utiliser un certificat X.509 pour vérifier l'identité du serveur d'annuaire LDAP distant.

Pourquoi et quand exécuter cette tâche

Pour utiliser SSL, sélectionnez SSL dans le champ Channel encryption de l'onglet LDAP du document Directory Assistance de l'annuaire LDAP distant. Lorsque vous sélectionnez SSL, vous devez également effectuer des sélections pour trois champs associés :

  • Accepter les certificat SSL expirés
  • Version de protocole SSL
  • Vérifier le nom du serveur avec le certificat du serveur distant

Procédure

  1. Dans le champ Accepter les certificats SSL expirés, sélectionnez au choix :
    • Oui (valeur par défaut) pour accepter un certificat du serveur d'annuaires LDAP, même si ce certificat est arrivé à expiration.
    • Non pour rejeter un certificat expiré, afin d'assurer une meilleure sécurité.
  2. Dans le champ Version du protocole SSL, sélectionnez le numéro de version du protocole SSL à utiliser, comme suit :
    Tableau 1. Noms de version et descriptions du protocole SSL

    Version de protocole SSL

    Description

    V2.0 uniquement

    Autorise uniquement les connexions SSL 2.0.

    Etablissement de liaison V3.0

    Utilise une connexion SSL 3.0. Si la connexion échoue et que le demandeur détecte SSL 2.0, essayez d'utiliser SSL 2.0 pour vous connecter.

    V3.0 uniquement

    Autorise uniquement les connexions SSL 3.0.

    V3.0 avec établissement de liaison V2.0

    Utilise une connexion SSL 3.0, mais démarre la connexion avec un protocole SSL 2.0 qui affiche les messages d'erreur appropriés. Etablit une connexion SSL 3.0, si possible. Choisissez V3.0 and V2.0 handshake pour recevoir les messages d'erreur V2.0 pouvant être générés lors d'une tentative de connexion. Ces messages d'erreur peuvent contenir des informations sur les problèmes d'incompatibilité détectés lors de la connexion.

    Négocié

    Permet à SSL de déterminer la version de protocole et l'établissement de liaison.

  3. Dans le champ Vérifier le nom du serveur avec le certificat du serveur distant, sélectionnez au choix :
    • Activé (valeur par défaut)
    • Désactivé

    Choisissez Activé pour que la ligne d'objet du certificat du serveur contienne le nom d'hôte du serveur d'annuaire LDAP. Pour que cette option fonctionne correctement, la ligne d'objet du certificat du serveur distant doit contenir son nom d'hôte DNS. Conservez cette option activée si vous êtes sûr que le certificat X.509 du serveur d'annuaire LDAP distant contient le nom d'hôte du serveur distant au format approprié.

    L'AC Domino® et certaines autres autorités de certification fournissent une boîte de dialogue permettant aux utilisateurs d'entrer la ligne d'objet lors d'une demande de certificat. Par exemple, l'AC Domino® demande à chaque utilisateur d'entrer les informations du serveur distant, telles que le nom usuel, le nom de la division, le nom de la société, l'état (ou département) et le pays. L'AC Domino® place ensuite ces informations dans la ligne d'objet, puis ajoute le préfixe approprié (cn=, ou=, o=, etc.) dans chaque champ. Si vous avez utilisé une autorité de certification Domino® pour créer le certificat du serveur distant, entrez le nom d'hôte du serveur distant dans le champ de nom usuel lorsque vous utilisez l'option Vérifier le nom du serveur avec le certificat du serveur distant. Par exemple, l'AC Domino® permet aux utilisateurs d'entrer les lignes d'objet suivantes (serveurmessagerie.renovations.com correspond au nom d'hôte DNS du serveur) :

    cn=serveurmessagerie.audimatique.com, ou=ventes, ou=marketing, o=audimatique, st=loireatl, c=fr

    cn=serveurmessagerie, ou=ventes - serveurmessagerie.audimatique.com o=audimatique, st=loireatl, c=fr

    Pour vous assurer que les utilisateurs entrent le nom d'hôte DNS correct, demandez-leur de l'entrer comme nom usuel (cn=) lorsqu'ils soumettent une demande de certificat à l'AC Domino®. D'autres autorités de certification peuvent utiliser d'autres boîtes de dialogue pour entrer la ligne d'objet. Les utilisateurs doivent suivre les instructions des boîtes de dialogue pour entrer le nom d'hôte DNS du serveur distant.