LDAP 服務的目錄協助

如果 LDAP 服務使用的目錄協助資料庫中有目錄的「目錄協助」文件，並已選取文件「基本」標籤上「這個網域可用於」欄位中的 LDAP 用戶端，則 LDAP 服務可以使用次要 Domino® 名錄或延伸目錄型錄來處理「LDAP 用戶端」要求。若要防止 LDAP 服務在處理 LDAP 用戶端要求時使用 Domino® 名錄或延伸目錄型錄，請不要為目錄選取「目錄協助」文件中的「LDAP 用戶端」。為目錄設定的命名規則會影響 LDAP 服務使用的目錄。

您可以分別控制 LDAP 服務使用的每個目錄之 LDAP 用戶端存取權。例如，您可以讓匿名 LDAP 使用者在一個目錄中存取特定屬性，但不允許其在別的目錄中存取。

如果是遠端 Domino® 名錄或延伸目錄型錄，則遠端伺服器不需要執行 LDAP 服務。若要使用遠端目錄處理 LDAP 搜尋要求，則遠端伺服器上的目錄 ACL 必須透過「伺服器群組」或「伺服器」使用者類型項目給予執行 LDAP 服務的伺服器「讀者」存取權，如果下列其中一項成立：

• 搜尋要求來自已透過認證的 LDAP 用戶端
• 已啟用目錄的延伸存取權。

伺服器通常有目錄 ACL 中的 LocalDomainServers 與 Other網域伺服器 群組預設存取權的必要存取權。

LDAP 服務不會處理遠端 Domino® 名錄或延伸目錄型錄的寫入作業。相反，它傳回用戶端目錄的管理伺服器之 LDAP 參考資料，若沒有管理伺服器，則為儲存目錄協助資料庫中指定的遠端抄本之伺服器。無論遠端伺服器是否執行 LDAP 服務，此參考資料都會出現。

如果 LDAP 服務找不到 LDAP 用戶端在主要 Domino® 名錄、壓縮目錄型錄，或是目錄協助資料庫中配置的 Domino® 名錄或延伸目錄型錄中搜尋的資訊，就會讓用戶端參照遠端 LDAP 目錄。在「基本」標籤上遠端 LDAP 目錄的「目錄協助」文件中，針對「這個網域可用於」選取「LDAP 用戶端」。若要防止 LDAP 服務讓用戶端參照目錄，請不要選取「LDAP 用戶端」。

若要傳回轉介，Domino® LDAP 服務會使用遠端 LDAP 目錄的「目錄協助」文件中的資訊。參考資料與 LDAP v3 相容，並包括：

• LDAP 目錄伺服器的 URL 主機名稱
• 為「目錄協助」文件中的目錄而配置的基本識別名稱
• LDAP 目錄伺服器使用的埠

請注意，傳回轉介時，執行 LDAP 服務的 Domino® 伺服器永遠不會連接至遠端 LDAP 目錄伺服器。

一些 LDAP 用戶端可以接受一個以上的參考資料，以便讓用戶端在一個參考資料中指定的主機名稱無法使用的情況下可以嘗試使用其他的參考資料。依預設，針對給定的搜尋，LDAP 服務可以只讓 LDAP 用戶端參考一個遠端 LDAP 目錄主機名稱。如果 LDAP 用戶端使用可以接受多個轉介的 LDAP 服務，您可以使用 LDAP 服務配置設定「轉介數上限」，以增加 LDAP 服務可以傳回的轉介數。