用于数据库授权的目录辅助和组查找

如果数据库访问控制表 (ACL) 中包含位于服务器主 Domino® 目录中的组，那么在服务器为用户授予数据库访问权时，服务器可以自动查找此组中的成员。

关于此任务

除主 Domino® 目录以外，还可以将用于数据库授权的组存储在其他目录中。其他目录可以是辅助 Domino® 目录、扩展目录编目或远程 LDAP 目录。请注意，如果主 Domino® 目录和其他目录中都包含用于数据库授权的同名组，那么服务器将使用主 Domino® 目录中的组。

要将其他目录用于组授权，请在该目录的“目录辅助”文档中执行以下操作：

提示：为扩展目录编目启用组授权可以有效地将用于数据库授权的组存储在多个辅助 Domino® 目录中，只要将这些目录聚集到目录编目中即可。

客户机认证进程结束后，服务器将验证客户机对数据库的访问权。可以为客户机认证和组授权使用不同的目录。例如，可以使用远程 LDAP 目录进行客户机认证，而使用扩展目录编目在数据库授权过程中查找组。

注：如果为远程 LDAP 目录启用了组授权，可以为服务器选择定制的搜索过滤器用于组搜索。

进行数据库访问权授权时，服务器可以搜索数据库 ACL 列表中列出的组中的嵌套组，以及嵌套在嵌套组中的组，依此类推，只要所有的组都位于同一目录下。

如果为辅助 Domino® 目录或扩展目录编目启用了组授权，服务器将始终搜索该目录中的嵌套组。如果为远程 LDAP 目录启用了组授权，请使用嵌套组扩展选项来控制服务器是否搜索嵌套组。选择“是”（缺省值）将搜索嵌套组，选择“否”将阻止搜索嵌套组。如果有大量嵌套组，选择“否”可以提高搜索性能。

请注意，对于嵌套组的搜索，Domino® 不会应用目录辅助名称规则。有时，组的 DN 与为辅助目录建立的名称规则相匹配，但是该组成员（用户或嵌套组）的 dn 与之不匹配。如果不应用目录辅助名称规则，那么可以避免此问题，并可使搜索为任何搜索请求返回完整的名称列表。

对用于数据库授权的组所作的位置限制不适用于用作其他用途的组。例如，路由器可以搜索为目录辅助所配置的任何目录中的组，并可搜索嵌套组，即使这些嵌套组与其父组位于不同的目录中。