目錄服務


在遠端 LDAP 名錄的目錄協助文件內設定 SSL
如果 IBM Lotus Domino 伺服器使用遠端 LDAP 名錄在網際網路用戶端鑑別期間查閱認證,或在資料庫授權期間查閱群組成員,那麼請指定伺服器使用 SSL 連接到 LDAP 名錄伺服器。指定 SSL,這樣在 Domino 伺服器與 LDAP 伺服器之間就存在安全通訊,因此 Domino 伺服器可使用 X.509 憑證來驗證遠端 LDAP 名錄伺服器的身份。

若要使用 SSL,請在遠端 LDAP 名錄的「目錄協助」文件之 LDAP 標籤上的「通道加密」欄位內選取 SSL。選取 SSL 時,您也必須為三個相關欄位選擇選項:


「接受過期 SSL 憑證」

在「接受過期 SSL 憑證」欄位內選擇其中一項:


「SSL 通訊協定版本」

在「SSL 通訊協定版本」欄位內,選取要使用之 SSL 版本號碼,所列如下:
SSL 通信協定版本說明
僅 2.0僅容許 SSL 2.0 連接。
僅 3.0 交握式嘗試 SSL 3.0 連接。若連接失敗且要求端偵測到 SSL 2.0,則會嘗試使用 SSL 2.0 來連接。
僅限 3.0僅容許 SSL 3.0 連接。
V3.0 及 V2.0 交握式嘗試 SSL 3.0 連接,但是以 SSL 2.0 交握式起始顯示相關錯誤訊息。若可能的話請以 SSL 3.0 連接。選擇「V3.0 及 V2.0 交握式」以接收連接嘗試期間可能發生的 V2.0 錯誤訊息。這些錯誤訊息可提供連接時找出之相容性問題的資訊。
已協議允許 SSL 決定通訊協定版本與交握式。

使用遠端伺服器的憑證來驗證伺服器名稱
在「使用遠端伺服器的憑證來驗證伺服器名稱」欄位中選擇其中一項:


選擇「已啟用」來要求在遠端伺服器憑證的主旨行中包括 LDAP 名錄伺服器主機名稱。若要此選項正常運作,遠端伺服器憑證的主旨行必須包括其 DNS 主機名稱。如果您確定遠端 LDAP 名錄伺服器的 X.509 憑證包含正確格式的遠端伺服器主機名稱,那麼請保持啟用此選項。

Domino CA 與一些其他的 CA 會提供一對話方框,讓使用者要求憑證時在其中輸入主旨行。例如,Domino CA 會提示每一位址用者輸入遠端伺服器的資訊,如共同名稱、組織單位名稱、組織名稱、州 (或省) 及國家名稱。接著 Domino CA 會將此資訊放進主旨行內,並新增正確的前碼 (cn=、ou=、o= 等) 到欄位內。如果您已使用 Domino CA 建立遠端伺服器憑證,那麼使用「以遠端伺服器的憑證驗證伺服器名稱」選項時,在共同名稱欄位內輸入遠端伺服器的主機名稱。例如,Domino CA 容許使用者輸入以下有效主旨行 (mailserver.acme.com 為伺服器的 DNS 主機名稱):


為了確保使用者輸入正確的 DNS 主機名稱,建議使用者從 Domino CA 要求憑證時輸入主機名稱作為共同名稱 (cn=)。其他 CA 可能會提供不同對話方框讓您輸入此主旨行;使用者必須依照這些對話方框輸入遠端伺服器的 DNS 主機名稱。

相關主題