使用 LDAP 修改 LDAP 服务所支持的目录

缺省情况下,LDAP 服务不允许 LDAP 客户机修改 LDAP 服务所支持的目录。

关于此任务

然而,可以为以下任一目录启用 LDAP 写访问权以允许具有所需数据库访问权的 LDAP 用户修改这些目录:

  • LDAP 服务的主 Domino® 目录
  • LDAP 服务使用的辅助 Domino® 目录或扩展目录编目

您可以单独控制每个目录的 LDAP 写权限。例如,可以为主 Domino® 目录启用写访问权,而禁用扩展目录编目的写访问权。

注: 您不能对 LDAP 服务所支持的精简目录编目启用 LDAP 写访问权。

如果对目录启用 LDAP 写权限,请注意以下几点:

过程

  1. Domino® 不提供执行 LDAP 写操作的工具,必须开发或获取一个工具。
  2. 如果允许 LDAP 写权限,请使用目录数据库 ACL 和扩展 ACL(可选)来控制 LDAP 用户可以更改的目录。
  3. 对 LDAP 服务启用模式检查以要求通过 LDAP 进行的目录更改符合目录模式。缺省情况下,请禁用模式检查,如果允许 LDAP 写操作,则建议启用模式检查以保持目录内容的一致性。
  4. Administration Process 服务器任务不响应 LDAP 写操作。例如,如果 LDAP 用户删除了“个人”文档,则 Administration Process 不能从数据库 ACL(访问控制列表)中删除关联的用户名。
  5. 只有当辅助 Domino® 目录或扩展目录编目以本地方式存储在运行 LDAP 服务的服务器上时,LDAP 服务才能在该目录中执行 LDAP 写操作。如果 LDAP 服务收到对远程服务器上 Domino® 目录的写操作请求,那么它将向客户机发送 LDAP 参考。LDAP 服务将客户机引向该目录的管理服务器。如果未指定管理服务器,则它将客户机引向存储该目录的远程服务器。然后,客户机必须根据接收到的 LDAP 参考进行操作。
  6. 目录条目的专有名称限制为 256 个字符。专有名称不必符合组织单元 (ou)、组织 (o) 和国家/地区 (c) 这一标准 Notes® 命名模型。例如,以下均为可接受的专有名称:
    • dn: cn=Jay Walker + uid=123456,u=Sales,o=Widget Inc.,c=GB
    • dn: foo=Bar, o=Renovations
    • dn: cn=L. Eagle,o=Sue\, Grabbit and Runn,c=GB
    注: 建议此类名称主要用于只通过 LDAP 访问的条目,因为 Notes® 用户可能会对这些名称感到混淆。
  7. 在成批添加 100 个或更多的目录条目之前,可以使用 NOTES.INI 设置 LDAPBatchAdds 更快速地处理添加。完成成批添加后请禁用该设置。
  8. 您不能修改条目的结构对象类属性的值。