目錄服務


目錄協助與命名規則
設定目錄的目錄協助時,至少要定義一個對應目錄中使用者名稱的命名規則。命名規則要按照 X.500 辨識名稱模式。此模式會使用國家 、組織 (o)、及組織單位 (ou) 的目錄結構樹名稱階層,將名稱分成共同代表目錄樹中唯一位置的各個部份。這也是 IBM Lotus Domino 和 IBM Lotus Notes 傳統使用的命名模式。

每個目錄協助命名規則包含六個部份,每個部分包含下列其中一項:


一般將全星號規則指派給目錄 (*/ */ */ */ */ */ *) 來代表目錄中所有名稱。不過,若是在目錄協助中設定的目錄使用不連續的名稱階層,則定義對應階層的目錄規則會有用,因此搜尋特定名稱時伺服器可以以特定目錄為目標。

例如,假設「目錄 A」和「目錄 B」都在目錄協助資料庫中設定。「目錄 A」中的名稱歸入 o=acme、c=us,因此為它指定規則 */ */ */ */ acme/us;「目錄 B」中的名稱歸入 o=acme、c=fr 因此為它指定規則 */ */ */ */ acme/fr。若要尋找名稱 cn=jack brown、o=acme、c=fr,伺服器只會搜尋「目錄 B」而不搜尋「目錄 A」;若要尋找名稱 cn=joan brown、o=acme、c=us,伺服器只會搜尋「目錄 A」而不搜尋「目錄 B」。

此類型目標目錄搜尋發生的時間:


請注意,Domino 不會將目錄協助名稱規則套用於搜尋巢狀群組。有時,群組的 DN 會符合與次要目錄 (針對群組擴充而啟用) 所建立的名稱規則相符,但該群組之成員的 DN (無論是使用者或巢狀群組) 則不相符。在此情況下,不使用目錄協助名稱規則可有效避免問題發生,並讓搜尋傳回符合搜尋目標的完整名稱清單。

若要尋找非階層式名稱、沒有辨識部分的名稱或處理不指定搜尋基礎的 LDAP 搜尋要求,伺服器會忽略命名規則而根據為「目錄協助」文件中的目錄指定之搜尋順序來搜尋目錄。

附註 一些 LDAP 名錄不使用國家 、組織 (o) 以及組織單位 (ou) 命名模式。若設定如此 LDAP 名錄的目錄協助,請使用目錄的全星號命名規則。

授信的命名規則

網際網路用戶端將登入名傳送至伺服器以起始鑑定時,伺服器只在目錄至少有一個設定的命名規則「授信認證」(被視為授信的規則) 的情況下會在目錄 (目錄協助資料庫中設定) 中搜尋名稱。若用戶端登入名稱是階層式的,則除了主要的「Domino 名錄」外,伺服器只在使用符合用戶端登入名稱的授信規則之目錄中搜尋名稱。若用戶端登入名稱是非階層式的,如 John Smith,則伺服器會在使用授信規則的所有目錄中搜尋名稱。

伺服器在目錄中尋找使用者項目的用戶端登入名稱時,伺服器會比較指派給使用者項目的辨識名稱與為目錄定義的授信規則。若辨識名稱符合授信規則,則伺服器只鑑定用戶端。若使用用戶端認證的遠端 LDAP 名錄並新增 Notes 辨識名稱至目錄,則 Notes 辨識名稱 (不是原來的 LDAP 辨識名稱) 必須符合目錄的授信規則。

命名規則的範例

下表提供命名規則的範例,說明每一個規則如何併入或排除這些名稱:

相關主題