Lotus Domino Administrator 8.51 說明 - 建立遠端 LDAP 名錄的目錄協助文件

目錄服務

建立遠端 LDAP 名錄的目錄協助文件
要設定遠端 LDAP 名錄的目錄協助，請在目錄協助資料庫內建立「目錄協助」文件，如下所示：確定您已閱讀目錄協助服務與概念。

1. 請確定您已建立並抄寫目錄協助資料庫，並且已設定伺服器使用它。

2. 如果您要針對任何目的 (LDAP 服務參考除外) 使用遠端 LDAP 名錄，請使用 TCP/IP ping 公用程式來測試將使用 LDAP 名錄的 IBM Lotus Domino 伺服器是否可以連接遠端 LDAP 名錄伺服器。

3. 從「Domino 管理員」，選擇 [檔案] - [開啟伺服器]，選取已設定來使用目錄協助資料庫的伺服器，再按一下「確定」。

4. 按一下「配置」標籤。

5. 在左窗格中，展開 [目錄] - [目錄協助]。如果您看見「伺服器錯誤：檔案不存在」，表示您在步驟 4 選取的伺服器未設定為使用目錄協助資料庫。

6. 按一下「新增目錄協助」。

7. 在「基礎」標籤中，填寫下列欄位：

欄位輸入

網域類型選擇 LDAP.

網域名稱您選擇的網域名稱不同於為目錄協助資料庫中任何其他「目錄協助」文件 (Notes 或 LDAP) 指定的網域名稱。如需相關資訊，請參閱主題「目錄協助及網域名稱」。

公司名稱 (選用) 與這個目錄相關的公司名稱。多重「目錄協助」文件可以使用相同公司名稱。

搜尋次序 (選用) 一數值，會影響伺服器搜尋或讓 LDAP 用戶端參考此目錄的次序，與目錄協助資料庫內設定的其他目錄相關。如需相關資訊，請參閱主題「命名規則如何與目錄搜尋次序相關」。

這個網域可用於選擇一項或兩者：

「Notes 用戶端與網際網路認證/授權」，為 Notes 郵件定址、網際網路用戶端認證 (包含 LDAP 用戶端認證) 使用此 LDAP 名錄，或查詢資料庫授權的群組成員。若是群組權限，就必須同時啟用「群組權限」(請參閱下方)。
當在任何「Domino 名錄」的搜尋都不成功時，「LDAP 用戶端」可讓執行 LDAP 服務的伺服器參照 LDAP 用戶端到此 LDAP 名錄。

群組授權請選擇其中一項：

是，表示在授權資料庫存取權時，在此 LDAP 名錄中搜尋群組成員。
否 (預設值)，授權資料庫存取權時，防止在此目錄中搜尋群組成員。
僅可為一個在目錄協助資料庫內設定的目錄 (Notes 或 LDAP) 選擇「是」。
您不必啟用「授信認證」的規則。
如果您選取「是」，那麼在顯示的「巢狀群組擴展」欄位內選擇其中一項：

是 (預設值)，搜尋巢狀群組 -- 群組是資料庫 ACL 內列出的群組成員。
否，僅搜尋資料庫 ACL 內列出的群組成員，且不是在那些群組內巢狀群組成員。
如需群組授權的相關資訊，請參閱主題「資料庫授權的目錄協助及群組查閱」。

專用於群組授權或認證鑑別附註只有已針對此目錄啟用「群組授權」，或是至少一項規則已啟用「受信任」時，才會看到此項目。
選擇「是」，即允許目錄協助將此目錄專用於群組授權或認證鑑別。啟用此項，可使傳送至此目錄的非鑑別和非授權查詢量降至最低。
如需相關資訊，請參閱主題「限制目錄僅供鑑別查閱」。

已啟動選擇「是」來啟用此 LDAP 名錄的目錄協助。
附註您也可以從「目錄協助」資料庫的主要視圖中，啟動和取消這個目錄的目錄協助。選取目錄的目錄協助記錄，然後在工具列上按一
下「啟動/取消」。

在 SSO 記號 (對應至 Notes LTPA_UserNm) 中要當作名稱使用的屬性輸入要求 LTPA_UserNm 欄位時，應該傳回之目錄屬性的名稱。此值會使用為 Domino 產生之任何 SSO 記號中的使用者名稱。
如需在 LTPA 記號中用來單一登入的名稱對映的相關資訊，請參閱主題「配置對映在 SSO LTPA 記號的使用者名稱」。

8. 在「命名環境定義 (規則)」標籤上，為您要為目錄定義的每一規則完成下列欄位。依預設，「全部星號」規則會啟動且「授信認證」設為「否」。

欄位輸入

N.C. # 輸入在 LDAP 名錄內描述使用者名稱的命名環境定義 (規則)。若需相關資訊，請參閱主題「目錄協助及命名規則」。

已啟動請選擇其中一項：

是，啟用規則
否 (預設值)，停用規則

授信認證請選擇其中一項：

是，允許伺服器使用 LDAP 名錄內的認證來鑑定網際網路用戶端，目錄內該網際網路用戶端的辨識名稱與規則對應。
否 (預設值)，防止伺服器使用此目錄來認證網際網路用戶端，目錄內該網際網路用戶端的辨識名稱與規則對應。
若需相關資訊，請參閱主題「可靠的命名規則」。

9. 在「LDAP」標籤上，完成下表中的欄位：

LDAP 配置精靈

設定「目錄協助」使其順利且有效地與外來 LDAP 伺服器通訊，可能不容易，因為管理員得熟悉 LDAP 及外來 LDAP 伺服器的方法和設計才行。此標籤提供精靈功能，能協助引導管理員建立目錄協助 LDAP 配置文件。這個標籤上的數個欄位已經設定好，以幫助管理員尋找並驗證欄位所需的資訊。

按一下「建議」或「驗證」會使一或多個代理程式在 Domino 伺服器上執行，以及在許多情況下與 LDAP 伺服器通訊。這是假設正在設定中的「目錄協助」資料庫執行於伺服器，且不是本端抄本。

按一下「建議」會開啟對話框，讓管理員可以按一下「開始」，來取得建議值。接著建議值就會填入清單框。管理員可以選擇值並按一下「確定」，或是直接按一下「取消」。選取的值會自動複製至「目錄協助」文件。這對於首次設定「目錄協助」記錄而言非常好用。

按一下「驗證」會開啟對話框，讓管理員驗證目前的設定是否正確可行。這對於首次驗證「目錄協助」配置，以及驗證現有配置是否可持續正確運作時，非常好用。

欄位輸入

主機名稱遠端 LDAP 名錄伺服器的主機名稱 -- 例如，ldap.acme.com。Domino 伺服器使用此主機名稱連接到遠端 LDAP 名錄伺服器，或讓 LDAP 用戶端參考 LDAP 名錄。
按一下「建議」會開啟對話框，讓您查閱您 DNS 中任何列出之 LDAP 伺服器的主機名稱。
按一下「驗證」會開啟對話框，可驗證每個主機名稱是否為作用中 LDAP 伺服器。
或
輸入一個額外的主機名稱或數個主機名稱，以便如果無法使用由第一個指定的主機名稱代表的目錄伺服器，那麼 Domino 伺服器可使用替代的 LDAP 名錄伺服器。使用逗號、分號或在新的行中輸入每一個主機名稱，隔開主機名稱。
如果您指定多個目錄伺服器且每個伺服器等待連接不同的通訊埠，那麼請在主機名稱後指定通訊埠。例如：
ldap1.acme.com:390, ldap2.acme.com:391
在此欄位輸入的埠值會複寫「通訊埠」欄位中指定的值。如未在此欄位指定通訊埠，則將會使用「通訊埠」欄位中指定的值。
附註在此欄位中也支援使用 IPv6 位址。不過，請務必注意如果在此欄位指定 IPv6 位址，則因為前版 7.0 伺服器不支援 IPv6，所以必須使用「目錄協助」資料庫。

選擇性鑑定認證 (選用) 在「選擇性鑑定認證」下輸入使用者名稱與密碼，讓 Domino 伺服器連接到遠端 LDAP 名錄伺服器時顯示名稱與密碼。LDAP 名錄伺服器使用名稱與密碼來鑑定 Domino 伺服器。如果不指定名稱與密碼，那麼 Domino 伺服器會嘗試匿名連接。
按一下「驗證」會開啟對話框，驗證所輸入的使用者名稱和密碼在每個主機名稱上是否有效。
如需相關資訊，請參閱主題「在遠端 LDAP 名錄的目錄協助文件內指定 Domino 伺服器的名稱與密碼」。
此設定可能影響對 LDAP 伺服器的變更偵測。如需相關資訊，請參閱主題「變更偵測的特殊注意事項」。

搜尋的基礎 DN 搜尋基礎，如果 LDAP 名錄伺服器需要的話。例如：
o=Ace Industry
o=Ace Industry,c=US
按一下「建議」會開啟對話框，讓您在每個主機名稱中搜尋適合的搜尋基礎。
按一下「驗證」會開啟對話框，讓您使用設定的認證驗證每個主機名稱上的搜尋基礎是否可存取。
此設定可能影響對 LDAP 伺服器的變更偵測。如需相關資訊，請參閱主題「變更偵測的特殊注意事項」。

通道加密請選擇其中一項：

SSL (預設值)，當 Domino 伺服器連接到遠端 LDAP 名錄伺服器時，使用 SSL。
無，防止使用 SSL。
如果您使用遠端 LDAP 名錄以供用戶端認證或查閱資料庫授權的群組成員，那麼請在「通道加密」欄位內保持選取 SSL。
如果您選擇 SSL，那麼請在這些相關欄位內選擇下列選項：

「接受過期 SSL 憑證」
「SSL 通訊協定版本」
使用遠端伺服器的憑證來驗證伺服器名稱
若需相關資訊，請參閱主題「在遠端 LDAP 名錄的目錄協助文件內配置 SSL」。

通訊埠 Domino 伺服器用來連接到遠端 LDAP 名錄伺服器的埠號。

如果您在「通道加密」欄位內選擇了 SSL，那麼預設通訊埠為 636。
如果您在「通道加密」欄位內選擇「無」，那麼預設通訊埠是 389。
如果 LDAP 名錄伺服器並未使用這些預設通訊埠，請手動輸入其他通訊埠號碼。

逾時允許搜尋遠端 LDAP 名錄的最大秒數；預設值是 60 秒。
如果遠端 LDAP 名錄伺服器也有逾時設定，則以較低值的設定為優先。

傳回項目的最大數 LDAP 名錄伺服器可為 Domino 伺服器搜尋的名稱傳回項目的最大數目。若 LDAP 名錄伺服器也有最大值設定，以較低的設定為優先。如果 LDAP 名錄伺服器逾時，那麼它會傳回到那時為止所找到的名稱數。
預設值為 100。

搜尋時解除參照別名選擇其中一個來控制遠端 LDAP 名錄搜尋期間發生的別名解除參照之範圍：

「無」
「只適用於子層項目」
「只適於搜尋基本項目」
「一律」(預設)
如果 LDAP 名錄內沒有使用別名，那麼選取「無」可改善搜尋效能。
若需相關資訊，請參閱主題「在遠端 LDAP 名錄的目錄協助文件內配置別名解除參照」。

偏好的郵件格式如果目錄協助設定為允許 Notes 使用者傳送電子郵件到 LDAP 名錄中的使用者，請使用這個選項指定 Notes 郵件中要使用之名錄的位址格式。請選擇其中一項：

「Notes 郵件位址」 - 例如，John Doe/Acme@Acme。通常這個選項只會在 LDAP 名錄是「Domino 名錄」時才使用。
「網際網路郵件位址」(預設) - 例如，jdoe@acme.com。
若需相關資訊，請參閱稍早主題「使用遠端 LDAP 名錄的 Notes 郵件定址」。

作為「Notes 識別名稱」的屬性 (選用) 如果 Domino 伺服器為用戶端鑑定或資料庫授權使用遠端 LDAP 名錄，那麼將使用者的 LDAP 名錄辨識名稱選擇性的對應到對應的 Notes 辨識名稱。
按一下「驗證」會開啟對話框，讓您在指定基礎下使用設定的認證，驗證在每個主機名稱上至少有一個物件包含 Notes DN 屬性。
若需相關資訊，請參閱主題「使用遠端 LDAP 名錄內的 Notes 辨識名稱」。

要使用的搜尋過濾器類型選取其中一項來控制哪些 LDAP 搜尋過濾器可用於搜尋目錄：

「標準 LDAP」(預設)
Active Directory
Domino LDAP
IBM Directory Server
自訂
「標準 LDAP 」在大部份狀況下都有用。
按一下「建議」會開啟對話框，可在每個主機名稱中搜尋最適合使用的搜尋過濾器類型。
按一下「驗證」會開啟對話框，可驗證所選搜尋過濾器類型是否適合每個主機名稱。
附註選項「Domino LDAP」和「IBM Directory Server」允許 LDAP 閘道使用任何屬於給定 LDAP 伺服器的特殊功能。確定這些功能之後，LDAP 用戶端就可以決定是否加以利用。例如，LDAP 伺服器現在可以服務其根目錄伺服器項目 (DSE) 中的新屬性，來直接支援 LDAP 用戶端偵測 dominoAccessGroups 功能。
若需相關資訊，請參閱主題「在遠端名錄的目錄協助文件內配置搜尋過濾器」。

1. 按一下「儲存後結束」。

2. 如果您變更「群組授權」欄位：

等候變更抄寫到使用目錄協助資料庫的所有伺服器，或強制抄寫。
使用「重新啟動伺服器」控制台指令來停止或重新啟動使用群組授權的目錄協助之每一個伺服器，因此每一伺服器可偵測到變更。

相關主題

配置 SSO LTPA 記號的使用者名稱對映

遠端 LDAP 名錄的目錄協助及失效接手

在遠端 LDAP 名錄的目錄協助文件內指定 Domino 伺服器的名稱與密碼

變更偵測的特別考量

在遠端 LDAP 名錄的目錄協助文件內設定 SSL

在遠端 LDAP 名錄的目錄協助文件內設定別名解除參照

目錄協助與 Notes 郵件定址

設定目錄協助

在遠端 LDAP 名錄中使用 Notes 辨識名稱

在遠端 LDAP 名錄的目錄協助文件內設定搜尋過濾器

名錄輔助

名詞解釋

建議說明或 產品可用性?

說明的說明

所有說明內容

名詞解釋

欄位	輸入
網域類型	選擇 LDAP.
網域名稱	您選擇的網域名稱不同於為目錄協助資料庫中任何其他「目錄協助」文件 (Notes 或 LDAP) 指定的網域名稱。如需相關資訊，請參閱主題「目錄協助及網域名稱」。
公司名稱	(選用) 與這個目錄相關的公司名稱。多重「目錄協助」文件可以使用相同公司名稱。
搜尋次序	(選用) 一數值，會影響伺服器搜尋或讓 LDAP 用戶端參考此目錄的次序，與目錄協助資料庫內設定的其他目錄相關。如需相關資訊，請參閱主題「命名規則如何與目錄搜尋次序相關」。
這個網域可用於	選擇一項或兩者：「Notes 用戶端與網際網路認證/授權」，為 Notes 郵件定址、網際網路用戶端認證 (包含 LDAP 用戶端認證) 使用此 LDAP 名錄，或查詢資料庫授權的群組成員。若是群組權限，就必須同時啟用「群組權限」(請參閱下方)。當在任何「Domino 名錄」的搜尋都不成功時，「LDAP 用戶端」可讓執行 LDAP 服務的伺服器參照 LDAP 用戶端到此 LDAP 名錄。
群組授權	請選擇其中一項：是，表示在授權資料庫存取權時，在此 LDAP 名錄中搜尋群組成員。否 (預設值)，授權資料庫存取權時，防止在此目錄中搜尋群組成員。僅可為一個在目錄協助資料庫內設定的目錄 (Notes 或 LDAP) 選擇「是」。您不必啟用「授信認證」的規則。如果您選取「是」，那麼在顯示的「巢狀群組擴展」欄位內選擇其中一項：是 (預設值)，搜尋巢狀群組 -- 群組是資料庫 ACL 內列出的群組成員。否，僅搜尋資料庫 ACL 內列出的群組成員，且不是在那些群組內巢狀群組成員。如需群組授權的相關資訊，請參閱主題「資料庫授權的目錄協助及群組查閱」。
專用於群組授權或認證鑑別	附註只有已針對此目錄啟用「群組授權」，或是至少一項規則已啟用「受信任」時，才會看到此項目。選擇「是」，即允許目錄協助將此目錄專用於群組授權或認證鑑別。啟用此項，可使傳送至此目錄的非鑑別和非授權查詢量降至最低。如需相關資訊，請參閱主題「限制目錄僅供鑑別查閱」。
已啟動	選擇「是」來啟用此 LDAP 名錄的目錄協助。附註您也可以從「目錄協助」資料庫的主要視圖中，啟動和取消這個目錄的目錄協助。選取目錄的目錄協助記錄，然後在工具列上按一下「啟動/取消」。
在 SSO 記號 (對應至 Notes LTPA_UserNm) 中要當作名稱使用的屬性	輸入要求 LTPA_UserNm 欄位時，應該傳回之目錄屬性的名稱。此值會使用為 Domino 產生之任何 SSO 記號中的使用者名稱。如需在 LTPA 記號中用來單一登入的名稱對映的相關資訊，請參閱主題「配置對映在 SSO LTPA 記號的使用者名稱」。

欄位	輸入
N.C. #	輸入在 LDAP 名錄內描述使用者名稱的命名環境定義 (規則)。若需相關資訊，請參閱主題「目錄協助及命名規則」。
已啟動	請選擇其中一項：是，啟用規則否 (預設值)，停用規則
授信認證	請選擇其中一項：是，允許伺服器使用 LDAP 名錄內的認證來鑑定網際網路用戶端，目錄內該網際網路用戶端的辨識名稱與規則對應。否 (預設值)，防止伺服器使用此目錄來認證網際網路用戶端，目錄內該網際網路用戶端的辨識名稱與規則對應。若需相關資訊，請參閱主題「可靠的命名規則」。

欄位	輸入
主機名稱	遠端 LDAP 名錄伺服器的主機名稱 -- 例如，ldap.acme.com。Domino 伺服器使用此主機名稱連接到遠端 LDAP 名錄伺服器，或讓 LDAP 用戶端參考 LDAP 名錄。按一下「建議」會開啟對話框，讓您查閱您 DNS 中任何列出之 LDAP 伺服器的主機名稱。按一下「驗證」會開啟對話框，可驗證每個主機名稱是否為作用中 LDAP 伺服器。或輸入一個額外的主機名稱或數個主機名稱，以便如果無法使用由第一個指定的主機名稱代表的目錄伺服器，那麼 Domino 伺服器可使用替代的 LDAP 名錄伺服器。使用逗號、分號或在新的行中輸入每一個主機名稱，隔開主機名稱。如果您指定多個目錄伺服器且每個伺服器等待連接不同的通訊埠，那麼請在主機名稱後指定通訊埠。例如： `ldap1.acme.com:390, ldap2.acme.com:391` 在此欄位輸入的埠值會複寫「通訊埠」欄位中指定的值。如未在此欄位指定通訊埠，則將會使用「通訊埠」欄位中指定的值。附註在此欄位中也支援使用 IPv6 位址。不過，請務必注意如果在此欄位指定 IPv6 位址，則因為前版 7.0 伺服器不支援 IPv6，所以必須使用「目錄協助」資料庫。
選擇性鑑定認證	(選用) 在「選擇性鑑定認證」下輸入使用者名稱與密碼，讓 Domino 伺服器連接到遠端 LDAP 名錄伺服器時顯示名稱與密碼。LDAP 名錄伺服器使用名稱與密碼來鑑定 Domino 伺服器。如果不指定名稱與密碼，那麼 Domino 伺服器會嘗試匿名連接。按一下「驗證」會開啟對話框，驗證所輸入的使用者名稱和密碼在每個主機名稱上是否有效。如需相關資訊，請參閱主題「在遠端 LDAP 名錄的目錄協助文件內指定 Domino 伺服器的名稱與密碼」。此設定可能影響對 LDAP 伺服器的變更偵測。如需相關資訊，請參閱主題「變更偵測的特殊注意事項」。
搜尋的基礎 DN	搜尋基礎，如果 LDAP 名錄伺服器需要的話。例如： o=Ace Industry o=Ace Industry,c=US 按一下「建議」會開啟對話框，讓您在每個主機名稱中搜尋適合的搜尋基礎。按一下「驗證」會開啟對話框，讓您使用設定的認證驗證每個主機名稱上的搜尋基礎是否可存取。此設定可能影響對 LDAP 伺服器的變更偵測。如需相關資訊，請參閱主題「變更偵測的特殊注意事項」。
通道加密	請選擇其中一項： SSL (預設值)，當 Domino 伺服器連接到遠端 LDAP 名錄伺服器時，使用 SSL。無，防止使用 SSL。如果您使用遠端 LDAP 名錄以供用戶端認證或查閱資料庫授權的群組成員，那麼請在「通道加密」欄位內保持選取 SSL。如果您選擇 SSL，那麼請在這些相關欄位內選擇下列選項：「接受過期 SSL 憑證」「SSL 通訊協定版本」使用遠端伺服器的憑證來驗證伺服器名稱若需相關資訊，請參閱主題「在遠端 LDAP 名錄的目錄協助文件內配置 SSL」。
通訊埠	Domino 伺服器用來連接到遠端 LDAP 名錄伺服器的埠號。如果您在「通道加密」欄位內選擇了 SSL，那麼預設通訊埠為 636。如果您在「通道加密」欄位內選擇「無」，那麼預設通訊埠是 389。如果 LDAP 名錄伺服器並未使用這些預設通訊埠，請手動輸入其他通訊埠號碼。
逾時	允許搜尋遠端 LDAP 名錄的最大秒數；預設值是 60 秒。如果遠端 LDAP 名錄伺服器也有逾時設定，則以較低值的設定為優先。
傳回項目的最大數	LDAP 名錄伺服器可為 Domino 伺服器搜尋的名稱傳回項目的最大數目。若 LDAP 名錄伺服器也有最大值設定，以較低的設定為優先。如果 LDAP 名錄伺服器逾時，那麼它會傳回到那時為止所找到的名稱數。預設值為 100。
搜尋時解除參照別名	選擇其中一個來控制遠端 LDAP 名錄搜尋期間發生的別名解除參照之範圍：「無」「只適用於子層項目」「只適於搜尋基本項目」「一律」(預設) 如果 LDAP 名錄內沒有使用別名，那麼選取「無」可改善搜尋效能。若需相關資訊，請參閱主題「在遠端 LDAP 名錄的目錄協助文件內配置別名解除參照」。
偏好的郵件格式	如果目錄協助設定為允許 Notes 使用者傳送電子郵件到 LDAP 名錄中的使用者，請使用這個選項指定 Notes 郵件中要使用之名錄的位址格式。請選擇其中一項：「Notes 郵件位址」 - 例如，John Doe/Acme@Acme。通常這個選項只會在 LDAP 名錄是「Domino 名錄」時才使用。「網際網路郵件位址」(預設) - 例如，jdoe@acme.com。若需相關資訊，請參閱稍早主題「使用遠端 LDAP 名錄的 Notes 郵件定址」。
作為「Notes 識別名稱」的屬性	(選用) 如果 Domino 伺服器為用戶端鑑定或資料庫授權使用遠端 LDAP 名錄，那麼將使用者的 LDAP 名錄辨識名稱選擇性的對應到對應的 Notes 辨識名稱。按一下「驗證」會開啟對話框，讓您在指定基礎下使用設定的認證，驗證在每個主機名稱上至少有一個物件包含 Notes DN 屬性。若需相關資訊，請參閱主題「使用遠端 LDAP 名錄內的 Notes 辨識名稱」。
要使用的搜尋過濾器類型	選取其中一項來控制哪些 LDAP 搜尋過濾器可用於搜尋目錄：「標準 LDAP」(預設) Active Directory Domino LDAP IBM Directory Server 自訂「標準 LDAP 」在大部份狀況下都有用。按一下「建議」會開啟對話框，可在每個主機名稱中搜尋最適合使用的搜尋過濾器類型。按一下「驗證」會開啟對話框，可驗證所選搜尋過濾器類型是否適合每個主機名稱。附註選項「Domino LDAP」和「IBM Directory Server」允許 LDAP 閘道使用任何屬於給定 LDAP 伺服器的特殊功能。確定這些功能之後，LDAP 用戶端就可以決定是否加以利用。例如，LDAP 伺服器現在可以服務其根目錄伺服器項目 (DSE) 中的新屬性，來直接支援 LDAP 用戶端偵測 dominoAccessGroups 功能。若需相關資訊，請參閱主題「在遠端名錄的目錄協助文件內配置搜尋過濾器」。