LDAP 服务的目录辅助

如果 LDAP 服务所使用的目录辅助数据库中的目录有“目录辅助”文档，且在该文档基本选项卡上的使此域适用于字段中选择了 LDAP 客户机，那么 LDAP 服务可以使用辅助 Domino® 目录或扩展目录编目来处理 LDAP 客户机请求。要阻止 LDAP 服务在处理 LDAP 客户机请求时使用 Domino® 目录或扩展目录编目，请勿在该目录的“目录辅助”文档中选择 LDAP 客户机。为目录配置的命名规则将会影响 LDAP 服务使用目录。

可以单独控制 LDAP 客户机对 LDAP 服务所使用的每个目录的访问权。例如，可以允许 LDAP 用户匿名访问某个目录中的特定属性，但不能访问另一个目录中的属性。

如果 Domino® 目录或扩展目录编目是远程目录，那么远程服务器不必运行 LDAP 服务。要使用远程目录处理 LDAP 搜索请求，如果存在以下某种情况，那么远程服务器上的目录 ACL 必须通过“服务器组”或“服务器”用户类型条目为运行 LDAP 服务的服务器授予“读者”访问权：

• 搜索请求来自经过认证的 LDAP 客户机
• 在该目录上启用了扩展访问。

通常情况下，通过目录 ACL 中的 LocalDomainServers 和 OtherDomainServers 组的缺省访问级别，服务器已经具备了所需的访问级别。

LDAP 服务不会处理对远程 Domino® 目录或扩展目录编目的写操作，而是向客户机返回指向该目录的管理服务器的 LDAP 引用；如果没有管理服务器，那么会返回指向在目录辅助数据库中指定存储远程副本的服务器的 LDAP 引用。无论远程服务器是否运行 LDAP 服务，此引用都会出现。

如果 LDAP 服务在主 Domino® 目录、精简目录编目或者在目录辅助数据库中配置的 Domino® 目录或扩展目录编目中找不到 LDAP 客户机要搜索的信息，那么它会将客户机指向远程 LDAP 目录。在远程 LDAP 目录“目录辅助”文档的“基本”选项卡上，对于使此域适用于，选择 LDAP 客户机。如果阻止 LDAP 服务将客户机指向该目录，请勿选择 LDAP 客户机。

要返回引用，Domino® LDAP 服务会使用远程 LDAP 目录的“目录辅助”文档中的信息。引用符合 LDAP V3，并包括下列内容：

• LDAP 目录服务器的 URL 主机名
• 在“目录辅助”文档中为该目录配置的基本专有名称。
• LDAP 目录服务器使用的端口

请注意，在返回引用时，运行 LDAP 服务的 Domino® 服务器绝不会连接到远程 LDAP 目录服务器上。

某些 LDAP 客户机可以接受多个引用，这样，如果某个引用中指定的主机名不可用，客户机可以尝试使用另一个。缺省情况下，对于给定的搜索，LDAP 服务只能将 LDAP 客户机指向一个远程 LDAP 目录主机名。如果使用 LDAP 服务的 LDAP 客户机可以接受多个引用，那么可以使用 LDAP 服务配置设置最大引用数来增加 LDAP 服务可以返回的引用数。