變更 LDAP 服務埠和埠安全性配置
根據預設,LDAP 用戶端可透過 TCP/IP 埠 389 匿名連接到 LDAP 服務,或使用名稱及密碼鑑別連接。根據預設,LDAP 用戶端無法使用 SSL 連接。
若要使用名稱與密碼安全性來進行鑑別,有些 LDAP 用戶端(例如 Microsoft™ Internet Explorer 及具有 LDAP 帳戶的 HCL Notes® 用戶端)會先執行匿名搜尋以擷取鑑別所用的識別名稱,這樣使用者就不必自行指定識別名稱。若要讓這些用戶端使用名稱與密碼來驗證,您必須在用戶端用來連接的 LDAP 服務埠上,啟動匿名存取權及名稱與密碼鑑別。對於用戶端以匿名方式搜尋目錄來擷取識別名稱時所用的屬性,您也必須容許匿名讀取存取權。通常搜尋的屬性包括 cn、uid、sn、givenname 或 mail.
請遵循下列步驟,在執行 LDAP 服務的特定伺服器上變更 LDAP 服務埠與埠安全性配置:
- 從「HCL Domino® 管理員」中,按一下「配置」標籤。
- 在導覽窗格中,展開「伺服器」,然後開啟執行 LDAP 服務之伺服器的「伺服器」文件。
- 按一下「編輯伺服器」。
- 按一下標籤。註: 如果您正在管理主控組織環境,則下列表格中的星號 (*) 表示您必須在「網際網路網站」文件中指定的選項。在非主控組織環境中,您可以使用「網際網路網站」文件,但是不必一定使用它。
- 請完成下列欄位:
表 1. LDAP 服務的 TCP/IP 埠配置 欄位
Enter 鍵
TCP/IP 埠號
請選取 389(預設值),透過 TCP/IP 為 LDAP 連線使用業界標準埠。您可以指定不同的埠,但 389 適用於大部分狀況。
TCP/IP 埠狀態
請選擇其中一項:
- 已啟用(預設值):容許 LDAP 用戶端不使用 SSL 即可連接至伺服器。
- 重新導向到 SSL:引導不使用 SSL 連接的 LDAP 用戶端使用 SSL。LDAP 服務傳回訊息給 LDAP 用戶端,指出用戶端必須透過 SSL 連接。
- 已停用:防止 LDAP 用戶端使用 TCP/IP 埠連接。
強制執行伺服器存取權設定
請選擇其中一項:
- 「是」,將此「伺服器」文件「安全性」標籤上的「伺服器存取權」區段中設定的「存取伺服器」與「不存取伺服器」設定,套用至透過 TCP/IP 埠連接到 LDAP 服務的已驗證 LDAP 用戶端。
- 「否」(預設值),指定 LDAP 服務忽略伺服器「存取權設定」。
認證選項:名稱及密碼
如果「TCP/IP 埠狀態」欄位設為「已啟用」,請選擇其中一項:
- 「是」(預設值),允許 LDAP 用戶端在使用 TCP/IP 埠連接時使用名稱與密碼鑑別。
- 「否」,防止 LDAP 用戶端在使用 TCP/IP 埠連接時使用名稱與密碼鑑別。
認證選項:匿名
如果「TCP/IP 埠狀態」欄位設為「已啟用」,請選擇其中一項:
- 「是」(預設值),允許 LDAP 用戶端使用 TCP/IP 埠匿名連接。
- 「否」,防止 LDAP 用戶端使用 TCP/IP 埠匿名連接。
- 若要變更 LDAP 服務的 SSL 埠配置,請完成下列欄位:
表 2. LDAP 服務的 SSL 埠配置 欄位
Enter 鍵
SSL 埠號
選擇 636(預設值),透過 SSL 為 LDAP 連線使用業界標準埠。您可以指定不同的埠,但 636 適用於大部分狀況。
SSL 埠狀態
請選擇其中一項:
- 已啟用 - 容許 LDAP 用戶端透過 SSL 連接至 LDAP 服務。
- 已停用- (預設值)防止 LDAP 用戶端透過 SSL 連線。
認證選項:用戶端憑證
如果「SSL 埠狀態」欄位設為「已啟用」,請選擇其中一項:
- 「是」,允許 LDAP 用戶端在連接時使用用戶端憑證鑑別。
- 「否」(預設值),防止 LDAP 服務使用用戶端憑證鑑別。
認證選項:名稱及密碼
如果「SSL 埠狀態」欄位設為「已啟用」,請選擇其中一項:
- 「是」,允許 LDAP 用戶端透過 SSL 連接到 LDAP 服務時使用名稱與密碼鑑別。
- 「否」(預設值),防止 LDAP 用戶端透過 SSL 使用名稱與密碼鑑別。
認證選項:匿名
如果「SSL 埠狀態」欄位設為「已啟用」,請選擇其中一項:
- 「是」(預設值),允許 LDAP 用戶端透過 SSL 匿名連接 LDAP 服務。
- 「否」,防止匿名 SSL 連線。
- 按一下「儲存並關閉」。
- 如果您未對配置 LDAP 服務的伺服器進行變更,而在另一伺服器上進行變更,請將變更抄寫到執行 LDAP 服務的伺服器上。
- 在執行 LDAP 服務的伺服器上輸入下列指令,使變更生效:
Restart Task LDAP