KONFIGURIEREN

Verzeichnisverwaltung für den LDAP-Service
Wenn ein Domino-Server den LDAP-Service ausführt, können Sie die Verzeichnisverwaltung für Domino-Verzeichnisse oder erweiterte Verzeichniskataloge so einrichten, dass der LDAP-Service diese Verzeichnisse zum Verarbeiten der LDAP-Client-Vorgänge verwendet. Sie können außerdem die Verzeichnisverwaltung für ein Remote-LDAP-Verzeichnis so einrichten, dass der LDAP-Service LDAP-Clients an das Verzeichnis weiterleiten kann, wenn eine Suche in einem Domino-Verzeichnis oder einem erweiterten Verzeichniskatalog erfolglos ist.

LDAP-Vorgänge mithilfe eines sekundären Domino-Verzeichnisses oder eines erweiterten Verzeichniskatalogs verarbeiten

Warum und wann dieser Vorgang ausgeführt wird

Der LDAP-Service kann LDAP-Client-Anforderungen mithilfe eines sekundären Domino-Verzeichnisses oder eines erweiterten Verzeichniskatalogs verarbeiten, wenn ein Verzeichnisverwaltungsdokument für das Verzeichnis in einer Verzeichnisverwaltungsdatenbank vorhanden ist, die von dem LDAP-Service verwendet wird. Außerdem müssen Sie in dem Dokument im Register Allgemein im Feld Make this domain available to die Option LDAP Clients aktivieren. Um zu vermeiden, dass der LDAP-Service ein Domino-Verzeichnis oder einen erweiterten Verzeichniskatalog beim Verarbeiten der LDAP-Client-Anforderungen verwendet, deaktivieren Sie die Option LDAP Clients im Verzeichnisverwaltungsdokument des Verzeichnisses. Die für diese Verzeichnisse konfigurierten Namensregeln legen fest, welche Verzeichnisse der LDAP-Service verwendet.

Der LDAP-Client-Zugriff wird für jedes von den LDAP-Services verwendete Verzeichnis einzeln festgelegt. So können Sie beispielsweise anonymen LDAP-Benutzern den Zugriff auf bestimmte Attribute in einem Verzeichnis ermöglichen und in einem anderen verwehren.

Wenn es sich um ein Remote-Domino-Verzeichnis oder einen externen erweiterten Verzeichniskatalog handelt, muss der Remote-Server den LDAP-Service nicht ausführen. Damit eine LDAP-Suchanfrage in einem Remoteverzeichnis verarbeitet werden kann, muss die Verzeichnis-ACL auf dem Remote-Server dem Server, auf dem der LDAP-Service ausgeführt wird, Leserzugriff gewähren. Dies kann durch einen Benutzertypeintrag des Typs "Servergruppe" oder "Server" realisiert werden, wenn Folgendes zutrifft:


Server verfügen über die erforderlichen Zugriffsrechte in der Regel über die Gruppen "LocalDomainServers" und "OtherDomainServers" in der Verzeichnis-ACL.

Der LDAP-Service verarbeitet keine Schreibvorgänge in ein Remote-Domino-Verzeichnis oder einen externen erweiterten Verzeichniskatalog. Stattdessen wird dem Client eine LDAP-Anfrage an den Administrationsserver dieses Verzeichnisses zurückgegeben. Wenn kein Administrationsserver vorhanden ist, wird sie an den Server weitergegeben, der die in der Verzeichnisverwaltungsdatenbank angegebene Replik speichert. Diese Weiterleitung erfolgt auch dann, wenn der Remote-Server den LDAP-Service ausführt.

Anmerkung: Sie können mithilfe der Verzeichnisverwaltung vermeiden, dass der LDAP-Service primäre Domino-Verzeichnisse durchsucht.

Ergebnisse

Weitergabe von LDAP-Services an Remote-LDAP-Verzeichnisse

Warum und wann dieser Vorgang ausgeführt wird

Wenn der LDAP-Service die von LDAP-Clients gesuchten Informationen im primären Domino-Verzeichnis, in einem kompakten Verzeichniskatalog, einem Domino-Verzeichnis oder einem in der Verzeichnisverwaltungsdatenbank konfigurierten erweiterten Verzeichniskatalog nicht findet, kann er Clients an ein Remote-LDAP-Verzeichnis weiterleiten. Wählen Sie dazu im Verzeichnisverwaltungsdokument des Remote-LDAP-Verzeichnisses im Register Make this domain available to die Option LDAP Clients aus. Um zu verhindern, dass der LDAP-Service Clients an das Verzeichnis weiterleitet, lassen Sie die Option LDAP Clients deaktiviert.

Zum Zurückgeben einer Weitergabe verwendet der Domino-LDAP-Service Informationen im Verzeichnisverwaltungsdokument des Remote-LDAP-Verzeichnisses. Die Weitergabe ist mit LDAP v3 kompatibel und enthält:


Wenn eine Weitergabe zurückgegeben wird, stellt der den LDAP-Service ausführende Domino-Server keine Verbindung mit dem Remote-LDAP-Verzeichnisserver her.

Einige LDAP-Clients können mehr als eine Weitergabe verarbeiten, sodass der Client, wenn ein Hostname für eine Weitergabe nicht verfügbar ist, einen anderen verwenden kann. Standardmäßig kann der LDAP-Service einen LDAP-Client für eine bestimmte Suche an nur einen Hostnamen eines Remote-LDAP-Verzeichnisses weiterleiten. Wenn LDAP-Clients vorhanden sind, die LDAP-Services mit mehreren Weitergaben verarbeiten können, können Sie mithilfe der Konfigurationseinstellung Maximum number of referrals die Anzahl der Weitergaben festlegen, die vom LDAP-Service zurückgegeben werden können.

Zugehörige Konzepte
Der LDAP-Service
Verzeichnisverwaltung einrichten
Verzeichnisverwaltungs-Failover für Remote-LDAP-Verzeichnisse
Verzeichnisverwaltung

Zugehörige Tasks
Namensregeln und LDAP-Services
Verzeichnisverwaltungsdokumente für Domino-Verzeichnisse oder erweiterte Verzeichniskataloge erstellen
Verzeichnisverwaltungsdokument für ein Remote-LDAP-Verzeichnis erstellen
LDAP-Schreibzugriff auf ein vom LDAP-Service genutztes Verzeichnis aktivieren bzw. deaktivieren
Verzeichnisverwaltung verwenden, um zu verhindern, dass der LDAP-Service das primäre Domino-Verzeichnis durchsucht