目錄協助及資料庫授權的群組查詢
當資料庫存取控制清單 (ACL) 包括位於伺服器主要 Domino® 名錄中的群組時,伺服器可以在授權使用者的資料庫存取時,自動查閱該群組的成員。
執行這項作業的原因和時機
除了主要 Domino® 名錄以外,您也可以將用於資料庫授權的群組儲存在一個目錄中。這個額外的目錄可以是次要 Domino® 名錄、延伸目錄型錄或遠端 LDAP 目錄。請注意,如果主要 Domino® 名錄及一個額外目錄都包含用於資料庫授權且具有相同名稱的群組,則伺服器會使用主要 Domino® 名錄中的群組。
程序
- 在「基本」標籤上的「這個網域可用於」中,選取「Notes 用戶端及網際網路鑑別/授權」。
- 在「基本」標籤上「群組授權」的旁邊,選擇「是」。
伺服器會在用戶端認證處理程序完成之後來驗證用戶端是否有資料庫的存取權。您可以使用不同的目錄來進行用戶端認證和群組授權。例如,您可以使用遠端 LDAP 目錄進行用戶端鑑別,並在資料庫授權期間使用延伸目錄型錄來查閱群組。
用於資料庫授權的巢狀群組
執行這項作業的原因和時機
在授權資料庫存取權時,伺服器可以搜尋套入到在資料庫ACL 中列出的群組中的群組,且可以搜尋套入到巢狀群組中的群組,等等(只要所有群組都位於相同的目錄中)。
如果對次要 Domino® 名錄或延伸目錄型錄啟用「群組授權」,伺服器一律會在目錄中搜尋巢狀群組。如果對遠端 LDAP 目錄啟用「群組授權」,請使用「巢狀群組擴展」選項來控制伺服器是否要搜尋巢狀群組。選取「是」(預設值)來搜尋巢狀群組,或選取「否」防止進行巢狀群組搜尋。若有許多巢狀群組,則選取「不」可以增進搜尋效能。
請注意,Domino® 不會將目錄協助名稱規則套用到搜尋巢狀群組。有時候群組的 DN 會與次要目錄所建立的名稱規則相符,但該群組之成員的 DN(無論是使用者或巢狀群組)則不相符。藉由不套用目錄協助名稱規則,可避開問題,並且啟動搜尋,以傳回任何搜尋要求的完整名稱清單。
用於資料庫授權的群組之位置限制不適用於的群組(用於其他目的)。例如,「路由器」可以在為目錄協助設定的任何目錄中搜尋群組,且當巢狀群組位於不同的目錄(而不是母項群組)中時,甚至可以搜尋巢狀群組。