Utilisation de LDAP pour modifier un annuaire desservi par le service LDAP

Par défaut, le service LDAP ne permet pas aux clients LDAP de modifier les annuaires desservis par le service LDAP.

Pourquoi et quand exécuter cette tâche

Vous pouvez cependant autoriser l'accès en écriture LDAP pour les annuaires suivants, afin de permettre aux utilisateurs LDAP bénéficiant d'un accès approprié à la base de documents de modifier les annuaires :

  • Annuaire Domino® principal du service LDAP
  • Annuaire Domino® secondaire et catalogue d'annuaires étendu desservi par le service LDAP

Contrôlez l'accès en écriture LDAP séparément pour chaque annuaire. Vous pouvez par exemple activer l'accès en écriture pour l'annuaire Domino® principal et le désactiver pour un catalogue d'annuaires étendu.

Remarque : Vous ne pouvez pas activer l'accès en écriture LDAP dans un catalogue d'annuaires condensé desservi par le service LDAP.

Gardez à l'esprit les points suivants si vous activez l'accès en écriture LDAP d'un annuaire :

Procédure

  1. Domino® ne fournit pas d'outil permettant d'effectuer les opérations d'écriture LDAP, vous devez en développer ou en obtenir un.
  2. Si vous autorisez l'accès en écriture LDAP, utilisez la LCA de la base et éventuellement la LCA étendue pour contrôler les modifications pouvant être effectuées par les utilisateurs LDAP.
  3. Activez la vérification de schéma pour le service LDAP afin d'exiger que les modifications d'annuaire effectuées via LDAP soient conformes au schéma d'annuaire. La vérification de schéma est désactivée par défaut. Si vous autorisez les opérations d'écriture LDAP, il est recommandé de l'activer pour préserver des contenus d'annuaire homogènes.
  4. La tâche serveur processus d'administration ne réagit pas aux opérations d'écriture LDAP. Par exemple, si un utilisateur LDAP supprime un document Personne, le processus d'administration ne peut pas supprimer le nom de l'utilisateur associé aux LCA de la base.
  5. Le service LDAP peut effectuer une opération d'écriture LDAP dans un annuaire Domino® secondaire ou catalogue d'annuaires étendu uniquement si cet annuaire est enregistré localement sur le serveur exécutant le service LDAP. Si le service LDAP reçoit une demande d'opération d'écriture pour un annuaire Domino® sur un serveur distant, il envoie une référence LDAP au client. Le service LDAP permet de faire correspondre le client et le serveur d'administration de l'annuaire. Si aucun serveur d'administration n'est spécifié, il permet au client de faire référence au serveur distant où l'annuaire est enregistré. Le client doit ensuite suivre la référence lui-même.
  6. Les noms distinctifs des entrées d'annuaire sont limités à 256 caractères. Les noms distinctifs ne doivent pas respecter le modèle de dénomination Notes® standard de subordonné (ou), de principal (o) et de pays (c). Par exemple, les noms distinctifs suivants sont acceptables :
    • dn: dn: cn=Jay Walker + uid=123456,u=Sales,o=Widget Inc.,c=GB
    • dn: dn: foo=Bar, o=Renovations
    • dn: cn=L. Eagle,o=Sue\, Grabbit and Runn,c=GB
    Remarque : Les noms de ce type sont principalement recommandés pour les entrées dont l'accès se fait uniquement via LDAP, étant donné que les utilisateurs Notes® sont susceptibles de les trouver étranges.
  7. Avant de faire des ajouts par lots d'au moins 100 entrées d'annuaire, vous pouvez utiliser le paramètre NOTES.INI LDAPBatchAdds pour traiter les ajouts plus rapidement. Désactivez ce paramètre lorsque les ajouts par lots sont terminés.
  8. Vous ne pouvez pas modifier la valeur d'un attribut de classe d'objets structurelle d'une entrée.