配置对目录的匿名 LDAP 搜索访问权

如果 LDAP 服务的 TCP/IP 和/或 SSL 端口配置允许,那么可以允许对目录进行匿名 LDAP 访问。

如果 LDAP 服务的 TCP/IP 和/或 SSL 端口配置允许匿名 LDAP 访问,请使用以下某种方法指定匿名 LDAP 用户可以在 LDAP 服务所服务的 HCL Domino®目录或扩展目录编目中搜索的信息:

  • 域配置设置文档
  • 数据库 ACL/扩展 ACL

您可以分别为 LDAP 服务使用的每个目录指定匿名搜索访问权。

注: 始终使用目录数据库“ACL”以及“扩展 ACL”(可选),控制已认证 LDAP 用户的目录访问和防止匿名 LDAP 用户修改目录。

域配置设置文档

用于确定匿名 LDAP 用户搜索访问权的缺省方法是 Domino® 目录或扩展目录编目中域“配置设置”文档的 LDAP 选项卡上的选择匿名用户可通过 LDAP 查询的字段设置。即使您没有创建文档,LDAP 服务也会将此文档中的缺省设置用作缺省的匿名搜索访问权。

您可以修改选择匿名用户可通过 LDAP 查询的字段设置以定制匿名 LDAP 用户的搜索访问权。

数据库 ACL/扩展 ACL

您可以使用数据库 ACL 以及扩展 ACL(而不是使用域“配置设置”文档)定义对目录的匿名 LDAP 搜索访问权。

选择要使用的方法

与域“配置设置”文档相比,数据库 ACL/扩展 ACL 是控制匿名 LDAP 搜索访问权的更灵活的方法。例如,当您使用域“配置设置”文档允许或拒绝对属性的访问时,该访问权将应用于包含该属性的所有条目。但是,当使用数据库 ACL/扩展 ACL 时,可以拒绝对目录树特定分支条目中所包含属性进行访问,但允许对其他分支条目中所包含的相同属性进行访问。或者,可以拒绝对整个目录中特定类型条目中的属性进行访问,但允许对另一类型目录条目中的该属性进行访问。

但是,如果使用无法应用于域“配置设置”文档的扩展访问权,有可能导致潜在问题。例如,在启用扩展访问权之后,只能在位于 Domino® 6 或更高版本服务器上的目录副本中执行目录更改。无法在早于 Domino® 6 的发行版上执行此类更改。ACL 方法还可以针对 HCL Notes® namelookup(例如,快速寻址查找)强制执行数据库安全性。如果域“配置设置”文档方法已能满足需要,那么可以改为使用此方法。