目錄服務


目錄型錄及用戶端認證
當網際網路用戶端登入要認證的伺服器時,伺服器可以在目錄型錄中查詢用戶端名稱,以尋找用於驗證的用戶端認證。

使用延伸目錄型錄供用戶端驗證

若要容許伺服器使用「延伸目錄型錄」來查詢用戶端名稱來認證,請在「延伸目錄型錄」的「目錄協助」文件中,啟用憑證信任的規則。

此外,如果您未遵循建議集成文件的所有欄位,則必須確定集成認證所需的欄位。例如,若要使用名稱及密碼安全性,則集成「人員」文件的 HTTPPassword 欄位。或若要使用 X.509 憑證安全性,則集成 userCertificate 欄位。

如果要讓伺服器使用某些次要「IBM Lotus Domino 名錄」進行網際網路用戶端鑑別,則可以建立一個能夠集成「Domino 名錄」的「延伸目錄型錄」來用於鑑別,並建立另一個能夠集成其他「Domino 名錄」的「延伸目錄型錄」。然後為每個「延伸目錄型錄」建立「目錄協助」文件,並僅在集成用於認證之目錄的文件中,啟用憑證信任的規則。

使用壓縮的目錄型錄供用戶端認證

若要啟用伺服器來查詢任何在壓縮的「目錄型錄」中集成之使用者名稱的認證認證,請在「Domino 名錄」的伺服器之「伺服器」文件的「基本」標籤上,選取選項「認證網際網路通訊協定時信任伺服器端壓縮目錄型錄」。

若要容許伺服器自一或多個集成至壓縮的「目錄型錄」之來源「Domino 名錄」,查詢使用者名稱的憑證,請不要選取以上選項。相反地,請在伺服器上建立目錄協助資料庫。在資料庫中,為每個要用於認證的集成「Domino 名錄」建立「目錄協助」文件。在每個「目錄協助」文件中,啟用憑證信任的規則。

如果您為網際網路用戶端使用名稱及密碼安全性,則可以將密碼儲存在壓縮的「目錄型錄」中。若要執行此動作,請集成「人員」文件的 HTTPPassword 欄位。在此情況下,伺服器會在目錄型錄中查詢密碼,且不需要目錄協助在來源「Domino 名錄」中查詢它們。

如果為用戶端認證使用 X.509 憑證,則不建議在壓縮的「目錄型錄」中儲存憑證 (因為它們的大小)。相反地,請設定目錄協助,直接在來源「Domino 名錄」中查詢憑證。同樣的,伺服器可以使用目錄協助在來源「Domino 名錄」中查詢密碼 (而非集成密碼至目錄型錄),來作為保持壓縮的「目錄型錄」較小的方法。

當您未在目錄型錄中儲存密碼及 X.509 憑證時,結合使用目錄型錄和目錄協助會比僅使用目錄協助更快,因為只需使用一個資料庫 (目錄型錄) 尋找名稱。

目錄型錄及 Notes 用戶端鑑定

依預設,當 IBM Lotus Notes 用戶端登入伺服器時,伺服器不會在用戶端鑑別處理期間查詢「Domino 名錄人員」文件中的資訊。但是,如果在伺服器的「伺服器」文件中啟用選項「將 Notes 公開金鑰和儲存於目錄內的公開金鑰相比較」,則伺服器必須可以在「人員」文件中查詢公開金鑰資訊,以認證 Notes 用戶端。如果有使用啟用了此選項之伺服器的 Notes 使用者,而其未在伺服器主要「Domino 名錄」中註冊,則伺服器可以使用其為憑證信任的目錄型錄,來查詢執行公開金鑰比較的名稱。

相關主題