目錄服務


目錄輔助和用戶端認證
若要透過任何支援的網際網路通訊協定 (Web (HTTP)、IMAP、POP3,或 LDAP) 來認證正在存取 Domino 伺服器上的資料庫之使用者,伺服器可以在目錄輔助資料庫設定的目錄中查詢使用者認證。伺服器可以使用此認證的 X.509 憑證安全性或名稱及密碼安全性。

若要允許伺服器使用在目錄輔助資料庫中設定的網際網路用戶端認證的目錄,請在該目錄的「目錄輔助」文件中執行下列各項:


例如,若您的組織在外來 LDAP 目錄中註冊 Web 使用者,當 Web 使用者嘗試存取 Domino Web 伺服器上的資料庫時,該伺服器可以連接至遠程外來 LDAP 目錄伺服器以查詢使用者名稱和密碼進行認證。

目錄輔助和用戶端認證

附註 伺服器的主要「Domino 名錄」永遠會啟動用戶端認證。即使您建立用於主要「Domino 名錄」的「目錄輔助」文件,並且不選取「這個網域可用於:Notes 用戶端及網際網路認證/授權。」

附註 使用「網際網路站台」文件或「伺服器」文件中的 [通訊埠] [網際網路通訊埠] 標籤來控制網際網路通訊協定伺服器所允許的用戶端認證之類型。

名稱及密碼認證所接受的名稱

若伺服器使用名稱及密碼安全性來認證網際網路用戶端,則選擇伺服器可以從用戶端接受的名稱類型。在主「Domino 名錄」的「伺服器」文件中的 [安全性] [網際網路存取] 標籤上,選擇「更多名稱變化與較低安全性」或「更少名稱變化與較高安全性」(預設)。 選項適用於使用任何目錄的名稱及密碼認證,包括主「Domino 名錄」。

雖然伺服器可以從用戶端接受非辨識名稱以在目錄中搜尋使用者項目,但是在目錄項目中它一直是使用者辨識名稱,伺服器將它與「目錄輔助」文件中的授信規則比較,以決定是否要認證用戶端。例如,假設使用者以辨識名稱 cn=alice browning,o=Acme 在目錄中註冊,但是該使用者在用戶端上卻設定名稱為 alice browning。在認證期間,伺服器會搜尋包含名稱 alice browning 的項目。當找到該項目時,若 cn=alice browning,o=acm 符合目錄的授信命名規則,它僅可以認證用戶端。

使用者辨識名稱也可以用來作為 Domino 中的使用權控制基礎,因此在資料庫 ACL、資料庫 ACL 中使用的群組、「伺服器」文件中的使用權清單,及 Web 伺服器的「檔案保護」文件中應當使用使用者辨識名稱。

在用戶端認證時遇到重複的名稱

若伺服器找到不止一個目錄項目 (包含由用戶端呈現的,對應到鑑定的有效辨識名稱的名稱),則在一個目錄中或跨多個目錄時,伺服器會使用帶有效密碼或 X.509 憑證的項目來認證用戶端。若不止一個這樣的項目擁有有效密碼或 X.509 憑證及相同的辨識名稱,則伺服器會使用它所找到的第一個密碼或 X.509 憑證來認證使用者。

跨通訊協定之一致的用戶端名稱及密碼

若 Domino 伺服器透過一個以上網際網路通訊協定來認證用戶端,為了簡化目錄管理,建立一個用戶端 (有適用於所有通訊協定的一個名稱及密碼) 的目錄項目。然後設定用戶端,在所有通訊協定上使用相同的名稱和密碼。

例如,若用戶端透過 Web 瀏覽的 HTTP 和目錄服務的 LDAP 連接至 Domino,則建立一個帶有名字和密碼的用戶端之目錄項目,並設定用戶端在兩種類型的連線上都使用該名字和密碼。

使用遠程 LDAP 目錄進行用戶端認證時可供使用的功能

下列功能特別在遠程 LDAP 目錄進行客戶端認證時可供使用。


Notes 用戶端認證

依預設,伺服器鑑定 Notes 用戶端時,不使用「Domino 名錄」的「個人」文件中的資訊。但是,若在伺服器的「伺服器」文件的「基本」標籤上啟用了選項「將 Notes 公開金鑰和儲存於目錄內的公開金鑰相互比較」,則伺服器僅在由 Notes 用戶端呈現的公開金鑰與使用者的「個人」文件中的公開金鑰符合時才會認證 Notes 使用者。

若連接至伺服器來認證的 Notes 使用者在次要「Domino 名錄」(而不是伺服器的主「Domino 名錄」) 中註冊,且已經為使用者要連接的伺服器啟動了「將 Notes 公開金鑰和儲存於目錄內的公開金鑰相互比較」選項,則必須選取選項「這個網域可用於:Notes 用戶端及網際網路認證/授權」以允許伺服器進行公開金鑰比較。這個「目錄輔助」文件可用於:


另請參閱