目錄服務
若 LDAP 服務使用的目錄輔助資料庫中有目錄的「目錄輔助」文件,並已選取「這個網域可用於」欄位 (在文件的「基本」標籤上) 的「LDAP 用戶端」,則 LDAP 服務可以使用次要的「Domino 名錄」或「擴充目錄型錄」來處理 LDAP 用戶端要求。若要防止 LDAP 服務在處理 LDAP 用戶端要求時使用「Domino 名錄」或「擴充目錄型錄」,請不要選取目錄的「目錄輔助」文件之「LDAP 用戶端」。 為目錄設定的命名規則會影響 LDAP 服務使用的目錄。
您可以分別控制 LDAP 服務使用的每個目錄之 LDAP 用戶端使用權。例如,您可以讓匿名 LDAP 使用者在一個目錄中存取特定屬性,但不允許其在別的目錄中存取。
若為遠程「Domino 名錄」或「擴充目錄型錄」,則遠程伺服器不必執行 LDAP 服務。若要使用遠程目錄處理 LDAP 搜尋要求,則遠程伺服器上的目錄 ACL 必須透過「伺服器群組」或「伺服器」使用者類型項目給予執行 LDAP 服務的伺服器「讀者」使用權,如果下列其中一項成立:
LDAP 服務不會處理遠程「Domino 名錄」或「擴充目錄型錄」寫入作業。相反,它傳回用戶端目錄的管理伺服器之 LDAP 參考資料,若沒有管理伺服器,則為儲存目錄輔助資料庫中指定的遠程抄本之伺服器。無論遠程伺服器是否執行 LDAP 服務,此參考資料都會出現。
若需「Domino 名錄」與「擴充目錄型錄」(在目錄輔助資料庫中設定) 的命名規則如何影響 LDAP 服務的相關資訊,請參閱本章後面的主題「命名規則與 LDAP 服務」。 若需控制目錄的 LDAP 使用權的相關資訊,請參閱「LDAP 服務設定」一章。
附註 也可以使用目錄輔助來防止 LDAP 服務搜尋主要「Domino 名錄」。
LDAP 服務會參照遠端 LDAP 目錄
LDAP 服務若無法找到 LDAP 用戶端在主要的「Domino 名錄」、壓縮的「目錄類別」或是目錄輔助資料庫中設定的「Domino 名錄」或「延展目錄型錄」中搜尋的資訊,就會讓用戶端參考遠程 LDAP 目錄。在「基本」標籤上的遠程 LDAP 目錄之「目錄輔助」文件中,在「這個網域可用於」旁邊選取「LDAP 用戶端」。 若要避免 LDAP 服務讓用戶端參考該目錄,請不要選取「 LDAP 用戶端」。
若要傳回參考資料,Domino LDAP 服務會使用遠程 LDAP 目錄的「目錄輔助」文件中的資訊。參考資料與 LDAP v3 相容,並包括:
一些 LDAP 用戶端可以接受一個以上的參考資料,以便讓用戶端在一個參考資料中指定的主電腦名稱無法使用的情況下可以嘗試使用其他的參考資料。依預設,針對給定的搜尋,LDAP 服務可以只讓 LDAP 用戶端參考一個遠程 LDAP 目錄主電腦名稱。若 LDAP 用戶端使用可以接受一個以上參考資料的 LDAP 服務,您可以使用 LDAP 服務配置設定「參考資料的最大數量」來增加 LDAP 服務可以傳回的參考資料數量。
另請參閱