Planification du service LDAP

Un serveur HCL Domino® qui exécute la tâche LDAP fonctionne comme un serveur d'annuaire LDAP, prêt à traiter les demandes des clients LDAP. Ces demandes peuvent émaner de tout client de navigation courant qui dispose d'une prise en charge LDAP intégrée afin de récupérer des informations d'annuaire, ou d'applications LDAP personnalisées conçues pour rechercher et gérer des informations d'annuaire.

Pourquoi et quand exécuter cette tâche

Lors de la planification du service LDAP, certaines questions doivent être posées, notamment :

  • Quels niveaux d'authentification client LDAP souhaitez-vous utiliser ? L'accès anonyme, activé par défaut, permet aux clients LDAP de se connecter sans fournir de nom et de données requises pour l'authentification, par exemple un mot de passe ou des certificats. En règle générale, les clients LDAP ne peuvent se connecter anonymement à l'annuaire qu'en accès en lecture.
  • Faut-il utiliser une LCA étendue pour contrôler l'accès LDAP à l'annuaire ? Une LCA étendue fournit un contrôle d'accès à l'annuaire plus granulaire qu'une LCA de base de données seule. Si vous utilisez une LCA étendue, celle-ci, ainsi que la LCA de la base, contrôle l'accès LDAP anonyme à la recherche ainsi que l'accès anonyme aux autres protocoles clients pris en charge. Si vous n'utilisez pas de LCA étendue, un document Paramètres de configuration contrôle l'accès LDAP anonyme à la recherche.
  • Faut-il créer un index documentaire pour l'annuaire Domino® ? Si, en règle générale, vos clients LDAP utilisent des filtres de recherche qui recherchent des adresses électroniques ou des noms, il n'est pas nécessaire d'établir un index documentaire de l'annuaire. Si les clients LDAP utilisent d'autres types de filtres de recherche, il est recommandé de créer un index documentaire de l'annuaire, afin que le service LDAP puisse traiter ces types de demandes plus rapidement en effectuant une recherche dans un index documentaire.
  • Est-il nécessaire d'étendre le schéma afin d'ajouter une prise en charge de nouveaux attributs ou classes d'objets ? Il peut être nécessaire d'étendre le schéma si votre société dispose d'applications LDAP qui recherchent des informations spécifiques à une application. Vous pouvez utiliser la base Schema LDAP Domino® (schema.nsf) pour étendre le schéma ou ajouter des masques et des champs à l'annuaire. L'utilisation de la base Schema est recommandée.

Planification de l'assistance d'annuaire pour le service LDAP

Pourquoi et quand exécuter cette tâche

Vous pouvez configurer l'assistance d'annuaire sur un serveur qui exécute le service LDAP afin que ce dernier puisse étendre les demandes LDAP client à un annuaire Domino® secondaire ou à un annuaire LDAP distant. Vous devez tenir compte des points suivants lors de la configuration du service LDAP afin qu'il utilise l'assistance d'annuaire pour un annuaire Domino® secondaire :

  • Quel type d'accès à l'annuaire Domino® secondaire souhaitez-vous accorder aux clients LDAP ? L'accès LDAP est contrôlé séparément pour chaque annuaire Domino® ou catalogue d'annuaire étendu desservi par le service LDAP.
  • Si vous utilisez une application LDAP personnalisée pour administrer l'annuaire, le service LDAP ne permet à l'application de modifier l'annuaire que si ce dernier est enregistré localement sur le serveur qui exécute le service LDAP. Si l'annuaire Domino® secondaire est enregistré sur un serveur distant, le service LDAP peut renvoyer une référence à ce dernier à la place ou traiter les opérations LDAP lui-même.

Vous devez tenir compte des points suivants lors de la configuration du service LDAP afin qu'il utilise l'assistance d'annuaire pour permettre aux clients LDAP de se référer à un annuaire LDAP distant :

  • Le service LDAP ne peut jamais traiter une recherche LDAP, ajouter ou modifier une demande dans un annuaire LDAP distant. Il ne peut que permettre aux clients LDAP de se référer à un annuaire LDAP distant.
  • Par défaut, le service LDAP ne peut renvoyer à un client LDAP donné qu'une référence à un seul annuaire LDAP distant. Si vous souhaitez permettre au service LDAP de renvoyer au client LDAP plusieurs références afin que le client LDAP puisse poursuivre avec une autre référence si le serveur d'annuaire spécifié dans la première référence n'est pas disponible, vous devez augmenter le paramètre Nombre maximal de références pour le service LDAP.
  • Vous pouvez spécifier d'autres annuaires LDAP pour référence dans un document Directory Assistance pour un annuaire LDAP distant.
Remarque : Le service LDAP, comme tout serveur de protocole Internet Domino®, peut utiliser l'assistance d'annuaire pour authentifier ses clients à l'aide de données d'identification dans un annuaire secondaire, et utiliser les groupes d'un annuaire secondaire pour l'autorisation de base.