建立遠端 LDAP 目錄的目錄協助文件
要設定遠端 LDAP 目錄的目錄協助,請在目錄協助資料庫中針對目錄建立「目錄協助」文件。
開始之前
確定您已閱讀目錄協助服務與概念。
請確定您已建立並抄寫目錄協助資料庫,並且已設定伺服器使用它。
程序
- 如果您要針對任何目的(LDAP 服務轉介除外)使用遠端 LDAP 目錄,請使用 TCP/IP ping 公用程式,測試將使用 LDAP 目錄的 HCL Domino® 伺服器是否可以連接到遠端 LDAP 目錄伺服器。
- 在「Domino® 管理員」中選擇,然後選取已設定要使用目錄協助資料庫的伺服器,然後按一下「確定」。
- 按一下配置標籤。
-
在導覽窗格中,展開「」。如果看到
Server Error: File does not exist,表示您在步驟 2 選取的伺服器未設定為使用目錄協助資料庫。 - 按一下「新增目錄協助」。
-
在「基本」標籤上,完成下列欄位:
表 1. 基本標籤 欄位
Enter 鍵
基礎區段 網域類型
選擇 LDAP.
網域名稱
您選擇的網域名稱不同於為目錄協助資料庫中任何其他「目錄協助」文件(HCL Notes® 或 LDAP)指定的網域名稱。如需配置目錄協助及網域名稱的相關資訊,請參閱相關主題。
公司名稱
與這個目錄相關聯的公司名稱。多重「目錄協助」文件可以使用相同公司名稱。
搜尋次序
為一數字,影響伺服器搜尋的順序,或影響 LDAP 用戶端參照與目錄協助資料庫中配置的其他目錄相關的這個目錄之順序。如需命名規則與目錄搜尋順序產生相關之方式的相關資訊,請參閱相關主題。
這個網域可用於
選擇一項或兩者:
- 「Notes 用戶端與網際網路鑑別/授權」:若要使用 HCL Notes® 郵件位址的目錄、網際網路的用戶端鑑別(包含 LDAP 用戶端鑑別),或者查閱資料庫授權的群組成員。針對群組授權,您也必須啟用「群組授權」。
- LDAP 用戶端:在任何 Domino® 名錄的搜尋都不成功時,可讓執行 LDAP 服務的伺服器使 LDAP 用戶端參照此 LDAP 目錄。
群組授權
請選擇其中一項:
- 「是」,授權資料庫存取時在此 LDAP 目錄中搜尋群組成員。僅對目錄協助資料庫中配置的一個目錄(Notes® 或 LDAP)選擇「是」。
- 「否」(預設值),授權資料庫存取時防止在目錄中搜尋群組成員。
您不必啟用「授信認證」的規則。
如果選取「是」,請在顯示的「巢狀群組擴充」欄位中選擇一項:
- 「是」(預設值),搜尋巢狀群組(屬於資料庫ACL 中所列出群組的成員)。
- 「否」,僅搜尋資料庫ACL 中列出的群組成員,且不是那些群組內的巢狀群組成員。
如需群組授權的相關資訊,請參閱相關主題。
專用於群組授權或認證驗證
註: 只有已針對此目錄啟用「群組授權」,或是至少一個規則已啟用「已授信」時,才會看到此項目。選擇「是」,允許目錄協助將此目錄專用於「群組授權」或「認證驗證」。啟用此項,可使傳送至此目錄的非驗證和非授權查詢量降至最低。
如需將目錄限制為僅限驗證查閱的相關資訊,請參閱相關主題。
已啟用
選擇「是」,啟用此 LDAP 目錄的目錄協助。
註: 您也可以從「目錄協助」資料庫的主要視圖中,啟動和取消這個目錄的目錄協助。選取目錄的目錄協助記錄,然後在工具列上按一下「啟動/取消」。在 SSO 記號(對應至 Notes® LTPA_UserNm)中作為名稱使用的屬性
輸入要求「LTPA_UserNm」欄位時,應該傳回之目錄屬性的名稱。所有 Domino® 產生的 SSO 記號中,都使用此值作為使用者名稱。
如需在 LTPA 記號中用於單一登入的名稱對應之相關資訊,請參閱相關主題。
SSO 配置區段 Windows™網路用戶端的單一登入 已針對 SSO 啟用伺服器,而且 LDAP 標籤上的(新)欄位「LDAP 供應商」已設定為「Active Directory」時,依預設已勾選此勾選框。
此設定容許 Domino® 搜尋使用者的 Active Directory (Kerberos) 登入名稱。
Kerberos 領域 僅使用大寫字元,輸入 Active Directory網域名稱。名更必須符合 LDAP 標籤上的網域名稱。
範例:AD.RENOVATIONS.COM -
在「命名環境定義(規則)」標籤上,針對每一個要對目錄定義的規則,完成下列欄位。依預設,已啟用全部星號規則,且「授信認證」設為「否」。
表 2. 命名環境定義(規則)標籤 欄位
Enter 鍵
N.C. #
輸入在 LDAP 目錄內描述使用者名稱的命名環境定義(規則)。如需目錄協助及命名規則的相關資訊,請參閱相關主題。
已啟用
請選擇其中一項:
- 「是」,啟用規則
- 「否」(預設值),停用規則
授信認證
請選擇其中一項:
- 「是」,允許伺服器使用 LDAP 目錄中的認證來鑑別網際網路用戶端(其目錄中的識別名稱對應於規則)。
- 「否」(預設值),防止伺服器使用此目錄來鑑別網際網路用戶端(其目錄中的識別名稱對應於規則)。
如需已授信命名規則的相關資訊,請參閱相關主題。
-
在 LDAP 標籤上,完成其中欄位,以使用 LDAP 配置精靈。
設定「目錄協助」使其順利且有效地與外部 LDAP 伺服器通訊,可能不容易,因為管理員得熟悉 LDAP 及外部 LDAP 伺服器的方法和設計才行。此標籤提供精靈功能,能協助引導管理員建立目錄協助 LDAP 配置文件。這個標籤上的數個欄位已經設定好,以幫助管理員尋找並驗證欄位所需的資訊:
- 「建議或驗證」可讓一個或多個代理程式在 Domino® 伺服器上執行,並在許多情況下可與 LDAP 伺服器通訊。這是假設正在設定中的「目錄協助」資料庫執行於伺服器,且不是本端抄本。
- 「建議」會開啟對話框,讓管理員可以按一下「開始」以取得建議值。接著建議值就會填入清單框。管理員可以選擇值並按一下「確定」,或直接取消。選取的值會自動複製至「目錄協助」文件。這對於首次設定「目錄協助」記錄而言非常好用。
- 「驗證」會開啟對話框,讓管理員驗證目前的設定是否正確可行。這對於首次驗證「目錄協助」配置,以及驗證現有配置是否可持續正確運作時,非常好用。
表 3. LDAP 配置精靈 欄位
Enter 鍵
LDAP 配置區段 主機名稱
遠端 LDAP 目錄的主機名稱,例如 ldap.renovations.com。Domino® 伺服器使用此主機名稱連接到遠端 LDAP 目錄伺服器,或讓 LDAP 用戶端參照 LDAP 目錄。
按一下「建議」以開啟對話框,讓您查閱 DNS 中列出的任何 LDAP 伺服器的主機名稱。
按一下「驗證」以開啟對話框,驗證每個主機名稱是否為作用中 LDAP 伺服器。
或
輸入一個或數個額外的主機名稱,以在無法使用由第一個指定主機名稱表示的目錄伺服器時,Domino® 伺服器可以使用替代的 LDAP 目錄伺服器。使用逗號、分號或在新的行中輸入每一個主機名稱,隔開主機名稱。
如果您指定多個目錄伺服器且每個伺服器等待連接不同的埠,那麼請在主機名稱後指定埠。例如:ldap1.acme.com:390, ldap2.renovations.com:391在此欄位輸入的埠值會覆寫「埠」欄位中指定的值。如果未在此欄位指定「埠」,則會使用在埠欄位中指定的值。
註: 在此欄位中也支援使用 IPv6 位址。不過,請務必注意如果在此欄位指定 IPv6 位址,則因為前版 7.0 伺服器不支援 IPv6,所以必須使用「目錄協助」資料庫。LDAP 供應商 輸入 LDAP 目錄的服務提供者(必要的話,請聯絡 LDAP 管理員)。預設值為「Domino LDAP」。
註: 選取「LDAP 供應商」的值之後,為了達到相符會調整在「進階選項」區段下的「要使用的搜尋過濾器類型」的建議值,但您可以修改該值。如需在「目錄協助」文件中配置搜尋過濾器的相關資訊,請參閱相關主題。
用於搜尋的選用鑑別認證
在「選用鑑別認證」中輸入使用者名稱與密碼,讓 Domino® 伺服器連接到遠端 LDAP 目錄伺服器時顯示該名稱與密碼。LDAP 目錄伺服器使用名稱與密碼來鑑別 Domino® 伺服器。如果未指定名稱及密碼,Domino® 伺服器會嘗試匿名連接。
按一下「驗證」以開啟對話框,驗證輸入的使用者名稱和密碼在每個主機名稱上是否有效。
此設定可能影響對 LDAP 伺服器的變更偵測。
如需在「目錄協助」文件中,為 LDAP 目錄指定 Domino® 伺服器的名稱及密碼的更多資訊,請參閱相關主題。
搜尋的基礎 DN
搜尋基礎,如果 LDAP 目錄伺服器需要的話。例如:
o=Ace Industryo=Ace Industry,c=US按一下「建議」以開啟對話框,讓您在每個主機名稱中搜尋適合的搜尋基準。
按一下「驗證」以開啟對話框,讓您使用配置的認證,驗證是否可存取每個主機名稱上的搜尋基準。
此設定可能影響對 LDAP 伺服器的變更偵測。如需變更偵測特殊考量的相關資訊,請參閱相關主題。
連線配置區段 通道加密
請選擇其中一項:
- 「SSL」(預設值),當 Domino® 伺服器連接到遠端 LDAP 目錄伺服器時,使用 SSL
- 「無」,防止使用 SSL。
如果使用遠端 LDAP 目錄進行用戶端鑑別或查閱資料庫授權的群組成員,請讓「SSL」在「通道加密」欄位中保持為已選取。
如果您選擇 SSL,那麼請在這些相關欄位內選擇下列選項:
- 接受逾時的 SSL 憑證
- SSL 通訊協定版本
- 使用遠端伺服器的憑證來驗證伺服器名稱
如需在「目錄協助」文件中針對遠端 LDAP 目錄配置 SSL 的相關資訊,請參閱相關主題。
埠
Domino® 伺服器用來連接到遠端 LDAP 目錄伺服器的埠號。
- 如果在「通道加密」欄位中選擇「SSL」,則預設埠為 636。
- 如果在「通道加密」欄位中選擇「無」,則預設埠為 389。
如果 LDAP 目錄伺服器並未使用這些預設埠,請手動輸入其他埠號碼。
進階選項區段 逾時
允許搜尋遠端 LDAP 目錄的最大秒數;預設值是 60 秒。
如果遠端 LDAP 目錄伺服器也利用逾時值進行配置,則優先採用較小的值。
傳回項目的最大數
LDAP 目錄伺服器可為 Domino® 伺服器搜尋的名稱傳回的項目數上限。如果 LDAP 目錄伺服器也有上限設定,則優先採用較小的值。如果 LDAP 目錄伺服器逾時,那麼它會傳回到那時為止所找到的名稱數。
預設值為 100。
搜尋時解除參照別名
選擇其中一個來控制遠端 LDAP 目錄搜尋期間發生的別名解除參照之範圍:
- 絕不
- 只適用於子層項目
- 只適於搜尋基本項目
- 「一律」(預設值)
如果未在 LDAP 目錄中使用別名,請選取「絕不可」以增進搜尋效能。
如需在「目錄協助」文件中配置別名取消參照的相關資訊,請參閱相關主題。
喜好的郵件格式
如果目錄協助設定為允許 Notes® 使用者傳送郵件給 LDAP 目錄中的使用者,請使用這個選項,指定 Notes® 郵件中要使用目錄的位址格式。請選擇其中一項:
- Notes 郵件位址:例如
John Doe/Renovations@Renovations。通常只會在 LDAP 目錄是 Domino® 名錄時才使用這個選項。 - 網際網路郵件位址(預設值):例如
jdoe@renovations.com。
如需目錄協助及 Notes 郵件位址的相關資訊,請參閱相關主題。
啟用名稱對應 這個勾選框可讓「目錄協助」將 Domino® DN 屬性對應至 LDAP 目錄中的 DN 屬性。此選項預設為停用。
透過此勾選框啟用名稱對映時,便會看見「要用於所有查閱的屬性」欄位以及現有的「作為 Notes 識別名稱的屬性」欄位。
註: 啟用這個勾選框時,您也必須在現有的欄位「作為 Notes 識別名稱的屬性」中輸入值,或者接受預設值 (「Notes DN」),才能儲存表單。如需透過 Active Directory 管理 Domino® 使用者的相關資訊,請參閱相關主題。
作為 Notes® 識別名稱的屬性
如果 Domino® 伺服器為用戶端鑑別或資料庫授權使用遠端 LDAP 目錄,請選擇性地將使用者的 LDAP 目錄識別名稱對應到相應的 Notes® 識別名稱。
按一下「驗證」以開啟對話框,讓您在指定基準下使用配置的認證,驗證在每個主機名稱上至少有一個物件包含 Notes® DN 屬性。
如需在遠端 LDAP 目錄中使用 Notes® 識別名稱的相關資訊,請參閱相關主題。
要用於所有查閱的屬性 選擇「是」或「否」。
依預設,勾選「啟用名稱對映」勾選框時,這個值設定為「否」,並且僅對網際網路/網路鑑別啟用名稱對映。
對這個欄位選取「是」並結合「與屬性組合作為 Notes 識別名稱」,即可讓所有目錄搜尋使用 Domino® 名稱對應,而並非僅是網際網路/網路鑑別。
要使用的搜尋過濾器類型
選取其中一項來控制哪些 LDAP 搜尋過濾器可用於搜尋目錄。
「標準 LDAP」適用於大部分的情況。
按一下建議以開啟對話框,在每個主機名稱中搜尋最適合使用的搜尋過濾器類型。
按一下「驗證」以開啟對話框,驗證所選擇搜尋過濾器類型是否適合每個主機名稱。
註: 選項「Domino LDAP」及「IBM Directory Server」,允許 LDAP 閘道使用任何屬於給定 LDAP 伺服器的特殊功能。確定這些功能之後,LDAP 用戶端就可以決定是否加以利用。例如,LDAP 伺服器現在可以服務其根目錄伺服器項目 (DSE) 中的新屬性,來直接支援 LDAP 用戶端偵測 dominoAccessGroups 功能。如需在「目錄協助」文件中配置搜尋過濾器的相關資訊,請參閱相關主題。
- 按一下「儲存並關閉」。
下一步
- 等待變更抄寫到使用目錄協助資料庫的所有伺服器,或強制抄寫。
- 使用 Restart Server 主控台指令,停止並重新啟動使用群組授權的目錄協助的每一個伺服器,以便每個伺服器都可偵測到變更。