延伸目錄型錄與遠端 LDAP 目錄的目錄協助範例
Z 公司使用三個網域:網域 A、網域 B 及網域 C。公司會建置聚集這三個網域 Domino® 名錄的延伸目錄型錄。網域之間的網路連線緩慢,因此 Z 公司會將延伸目錄型錄抄寫至每一個網域的策略伺服器。在網域 A 中,將目錄型錄抄寫至屬於叢集成員的兩部伺服器中。
執行這項作業的原因和時機
Domino® 網域 A 中的伺服器會在遠端 Active Directory 伺服器(用它來鑑別使用者)中註冊網際網路使用者。因為僅網域 A 伺服器會使用遠端 Active Directory,所以網域 A 會建立它自己的目錄協助資料庫。
下列表格顯示延伸目錄型錄和遠端 Active Directory伺服器(在網域 A 伺服器所使用的目錄協助資料庫中)的「目錄協助」文件中的設定。
| 基本標籤 | 內容 | 註解 |
|---|---|---|
| 網域類型 | Notes® | |
| 網域名稱 | EDC | 虛構名稱,不對應 Domino® 中的實際網域名稱。 |
| 公司名稱 | Z 公司 | |
| 搜尋次序 | 1 | 導致在搜尋遠端 Active Directory之前,網域 A 伺服器會先搜尋延伸目錄型錄。 |
| 這個網域可用於 |
|
|
| 群組授權 | 是 | 允許伺服器使用聚集到資料庫授權的目錄型錄中的任何一個目錄中的群組。 |
| 已啟用 | 是 | |
| 命名環境定義(規則)標籤 | ||
| N.C.1: |
|
允許伺服器搜尋目錄中的所有項目。將「授信認證」設為「否」,防止使用延伸目錄型錄進行網際網路用戶端鑑別,並且只有遠端 Active Directory 才能用於此目的。 |
| 「抄本」標籤 | ||
| N.C.1: |
|
Server1/網域A 是叢集的成員。叢集中只指定延伸目錄型錄的一個抄本,所以會使用叢集失效接手來尋找可用的抄本。 |
| 基本標籤 | 內容 | 註解 |
|---|---|---|
| 網域類型 | LDAP | |
| 網域名稱 | ActiveDir | 虛構名稱,不對應 Domino® 中的實際網域名稱。 |
| 公司名稱 | Z 公司 | |
| 搜尋次序 | 2 | 導致在搜尋延伸目錄型錄之後,網域 A 伺服器會搜尋遠端 Active Directory。 |
| 這個網域可用於 | Notes® 用戶端及網際網路鑑別/授權 | 網域 A 不會要求其 LDAP 服務讓 LDAP 用戶端參考 Active Directory,因此它不會選取「LDAP 用戶端」選項。 |
| 群組授權 | 否 | 因為網域 A 伺服器會查閱延伸目錄型錄中用於資料庫授權的群組,所以無法也將遠端 Active Directory用於此目的。所有用於資料庫授權的群組都儲存在網域 A 的主要 Domino® 名錄,以及聚集到延伸目錄型錄的網域目錄中。 |
| 已啟用 | 是 | |
| 命名環境定義(規則)標籤 | ||
| N.C.1: |
|
在 Active Directory 中註冊的使用者識別名稱,未對應於組織單位 (ou)、組織 (o) 及國家 (c) 的 Notes® 命名慣例。因此 Z 公司必須使用全為星號規則來代表這些使用者的識別名稱。 啟用命名環境定義(規則)的「授信認證」,這樣「網域 A」可以使用 Active Directory 中的使用者項目,來進行網際網路用戶端鑑別。 |
| LDAP 標籤 | ||
| 主機名稱 | ldap1.companyz.com, ldap2.companyz.com | 若要提供失效接手,請指定兩個 Active Directory伺服器,每一個都帶有目錄的抄本和相同的 LDAP 配置。 |
| 選擇性鑑別認證 | 使用者名稱:cn=john doe, cn=recipients, dc=east, dc=renovations, dc=com 密碼:adminspass |
|
| 搜尋的基礎 DN | cn=recipients, dc=east, dc=renovations, dc=com | |
| 通道加密 | 是 | 因為網域 A 伺服器使用 Active Directory 進行用戶端鑑別,所以 Z 公司會選取「通道加密」,讓 Domino® 伺服器可以使用 Secure Sockets Layer (SSL) 憑證來驗證 Active Directory 伺服器的身分。 |
| 埠 | 636 | SSL 連線所需。 |
| 接受逾時的 SSL 憑證 | 是 | |
| SSL 通信協定版本 | 已協議 | |
| 使用遠端伺服器的憑證來驗證伺服器名稱 | 是 | |
| 逾時 | 60 | |
| 傳回項目的最大數 | 100 | |
| 搜尋時解除參照別名 | 絕不 | Active Directory伺服器不使用別名解除參照,因此 Z 公司選取「無」來改善搜尋效能。 |
| 喜好的郵件格式 | 網際網路郵件位址 | |
| 作為 Notes® 識別名稱的屬性 | notesname | Z 公司會使用 Notes® 資料庫ACL 中,用戶端鑑別的 Notes 樣式識別名稱,而非 Active Directory 中的使用者原始 LDAP 名稱。指定的屬性 notesname 會在 Active Directory 中定義,並作為儲存 Notes® 名稱的屬性。Z 公司會使用它自己的工具來新增 Notes 樣式的識別名稱作為使用者項目中的 notesname 屬性值。 |
| 要使用的搜尋過濾器類型 | Active Directory | 請確定網域 A 伺服器使用為 Active Directory搜尋自訂的 LDAP 搜尋過濾器。 |