扩展目录编目和远程 LDAP 目录的目录辅助示例
公司 Z 使用了三个域:Domain A、Domain B 和 Domain C。该公司构建一个聚集了所有这三个域 Domino® 目录的扩展目录编目。由于域之间的网络连接速度很慢,因此公司 Z 将扩展目录编目复制到每个域中的策略服务器上。在 Domain A 中,目录编目将复制到作为集群成员的两个服务器。
关于此任务
Domino® Domain A 中的 服务器在用于认证用户的远程 Active Directory 服务器中注册了因特网用户。因为只有 Domain A 的服务器使用远程 Active Directory,所以 Domain A 创建了自己的目录辅助数据库。
以下各表显示了 Domain A 服务器所使用的目录辅助数据库中,针对扩展目录编目和远程 Active Directory 服务器的 Directory Assistance 文档中的设置。
| “基本”选项卡 | 内容 | 注释 |
|---|---|---|
| 域类型 | Notes® | |
| 域名 | EDC | 虚构的名称,与 Domino® 中的实际域名不对应。 |
| 公司名称 | Company Z | |
| 搜索顺序 | 1 | 使 Domain A 服务器在远程 Active Directory 之前搜索扩展目录编目。 |
| 使此域适用于 |
|
|
| 组授权 | 是 | 允许服务器使用聚合到该目录编目中的任何目录中的组进行数据库授权。 |
| 已启用 | 是 | |
| 命名上下文(规则)选项卡 | ||
| N.C.1: |
|
允许服务器搜索目录中的所有项目。将信任证书设置为否可防止将扩展目录编目用于因特网客户机认证,并仅允许将远程 Active Directory 用于此用途。 |
| 副本选项卡 | ||
| N.C.1: |
|
Server1/DomainA 是集群成员。仅指定了集群中扩展目录编目的一个副本,以便使用集群故障转移来查找可用副本。 |
| “基本”选项卡 | 内容 | 注释 |
|---|---|---|
| 域类型 | LDAP | |
| 域名 | ActiveDir | 虚构的名称,与 Domino® 中的实际域名不对应。 |
| 公司名称 | Company Z | |
| 搜索顺序 | 2 | 使 Domain A 服务器在扩展目录编目之后搜索远程 Active Directory。 |
| 使此域适用于 | Notes® 客户机和因特网认证/授权 | Domain A 不希望 LDAP 服务将 LDAP 客户机指向 Active Directory,因此没有选择“LDAP 客户机”选项。 |
| 组授权 | 否 | 由于 Domain A 服务器在扩展目录编目中查找用于数据库授权的组,因此不能将远程 Active Directory 也用于此用途。用于数据库授权的所有组应都存储在 Domain A 主 Domino® 目录中以及聚集到扩展目录编目的域目录中。 |
| 已启用 | 是 | |
| 命名上下文(规则)选项卡 | ||
| N.C.1: |
|
在 Active Directory 中注册的用户的专有名称与 Notes® 命名约定(组织单元 (ou)、组织 (o) 和国家或地区 (c))不对应。因此,公司 Z 必须使用全星号规则来表示这些用户的专有名称。 为该命名上下文(规则)启用了信任凭证,以便域 A 可以使用 Active Directory 中的用户条目进行因特网客户机认证。 |
| LDAP 选项卡 | ||
| 主机名 | ldap1.companyz.com, ldap2.companyz.com | 为了提供故障转移,指定了两个 Active Directory 服务器,每个服务器都有该目录的副本和相同的 LDAP 配置。 |
| 可选认证证书 | 用户名: cn=john doe, cn=recipients, dc=east, dc=renovations, dc=com 密码:adminspass |
|
| 用于搜索的基本 DN | cn=recipients、dc=east、dc=renovations、dc=com | |
| 通道加密 | 是 | 由于 DomainA 服务器使用 Active Directory 进行客户机认证,因此公司 Z 选择了“通道加密”,以便 Domino® 服务器可以使用安全套接字层 (SSL) 证书来验证 Active Directory 服务器的身份。 |
| 端口 | 636 | SSL 连接的必需选项。 |
| 接受到期的 SSL 证书 | 是 | |
| SSL 协议版本 | 协商 | |
| 使用远程服务器的证书验证服务器名称 | 是 | |
| 超时 | 60 | |
| 返回的最大条目数 | 100 | |
| 搜索时的别名取消引用 | 不 | Active Directory 服务器不使用别名取消引用,因此,公司 Z 选择“禁用”以提高搜索性能。 |
| 首选邮件格式 | 因特网邮件地址 | |
| 用作 Notes® 专有名称的属性 | notesname | 公司 Z 将 Notes 样式的专有名称(而不是 Active Directory 中用户的原始 LDAP 名称)用于客户机认证以及 Notes® 数据库 ACL 中。指定的属性(即 notesname)在 Active Directory 中定义为存储 Notes® 名称的属性。公司 Z 使用自己的工具将 Notes 样式的专有名称作为 notesname 属性的值添加到用户项中。 |
| 要使用的搜索过滤器类型 | Active Directory | 确保 Domain A 中的服务器使用为 Active Directory 搜索而定制的 LDAP 搜索过滤器。 |