Vorbereitungen

Informieren Sie sich zuvor über die Services und Konzepte, die in der Verzeichnisverwaltung verwendet werden.

Stellen Sie sicher, dass Sie eine Verzeichnisverwaltungsdatenbank erstellt und repliziert und die Server eingerichtet haben, die diese verwenden.

Prozedur

1. Wenn Sie das Remote-LDAP-Verzeichnis für andere Zwecke als die Weiterleitung von LDAP-Services verwenden, testen Sie mithilfe des TCP/IP-Ping-Dienstprogramms, ob die IBM® Domino-Server, die das LDAP-Verzeichnis verwenden, eine Verbindung mit dem Remote-LDAP-Verzeichnisserver herstellen können.

2. Wählen Sie in Domino Administrator Datei -> Server öffnen aus, wählen Sie einen Server aus, den Sie für die Verwendung der Verzeichnisverwaltungsdatenbank eingerichtet haben, und klicken Sie auf OK.

3. Klicken Sie auf das Register Konfiguration.

4. Blenden Sie im Navigationsfenster nacheinander Verzeichnis -> Verzeichnisverwaltung ein. Wenn die Nachricht Serverfehler: Datei nicht vorhanden angezeigt wird, wurde der von Ihnen in Schritt 2 ausgewählte Server nicht für die Verwendung der Verzeichnisverwaltungsdatenbank eingerichtet.

5. Klicken Sie auf Verzeichnisverwaltung hinzufügen.

6. Nehmen Sie im Register Allgemein Einstellungen für die folgenden Felder vor:

Tabelle 1. Register "Allgemein"

Feld	Eingabe
Abschnitt für allgemeine Einstellungen
Domain type	Wählen Sie "LDAP".
Domain name	Ein Domänenname Ihrer Wahl, der sich von den Domänennamen unterscheidet, die Sie für andere Verzeichnisverwaltungsdokumente (IBM Notes oder LDAP) in der Verzeichnisverwaltungsdatenbank angegeben haben. Weitere Informationen zum Konfigurieren der Verzeichnisverwaltung und der Domänennamen finden Sie unter den verwandten Themen.
Company name	Der Name der Firma, die zu diesem Verzeichnis gehört. Es kann für mehrere Verzeichnisverwaltungsdokumente derselbe Firmenname verwendet werden.
Search order	Eine Zahl, die sich auf die Reihenfolge auswirkt, in der Server dieses Verzeichnis durchsuchen oder LDAP-Clients auf dieses Verzeichnis verweisen, relativ zu anderen in der Verzeichnisverwaltungsdatenbank konfigurierten Verzeichnissen. Weitere Informationen dazu, wie sich Namensregeln auf die Suchreihenfolge in Verzeichnissen auswirken, finden Sie unter den verwandten Themen.
Make this domain available to	Wählen Sie eine der beiden Optionen aus: Notes clients and Internet Authentication/Authorization, wenn Sie dieses LDAP-Verzeichnis für die IBM Notes-Mailadressierung, die Internet-Client-Authentifizierung (einschließlich LDAP-Client-Authentifizierung) oder für die Suche nach Gruppenmitgliedern für die Datenbankautorisierung verwenden möchten. Für eine Gruppenautorisierung müssen Sie auch die Option Gruppenautorisierung aktivieren. LDAP Clients, damit ein Server, auf dem der LDAP-Service ausgeführt wird, LDAP-Clients an dieses LDAP-Verzeichnis verweisen kann, wenn eine LDAP-Suche in einem Domino-Verzeichnis nicht erfolgreich ist.
Group authorization	Wählen Sie einen der folgenden Werte aus: Yes, um bei der Autorisierung des Datenbankzugriffs in diesem LDAP-Verzeichnis nach Mitgliedern von Gruppen zu suchen. Wählen Sie "Yes" für nur jeweils ein in der Verzeichnisverwaltungsdatenbank konfiguriertes Verzeichnis aus (Notes oder LDAP). No (Vorgabe), um zu verhindern, dass bei der Autorisierung des Datenbankzugriffs in dem Verzeichnis nach Mitgliedern von Gruppen gesucht wird. Es muss keine Regel des Typs Trusted for Credentials ausgewählt werden. Wenn Sie die Option "Yes" aktivieren, wird das Feld Nested group expansion angezeigt, in dem Sie eine der folgenden Optionen auswählen können: Yes (Vorgabe), damit verschachtelte Gruppen (Gruppen, die Mitglieder der in den Datenbank-ACLs aufgeführten Gruppen sind) durchsucht werden. No, um nur die Gruppenmitglieder, die in der Datenbank-ACL aufgeführt sind, und nicht die Mitglieder der Gruppen zu durchsuchen, die in diesen Gruppen verschachtelt sind. Weitere Informationen zur Gruppenautorisierung finden Sie unter den verwandten Themen.
Use exclusively for group authorization or credential authentication	Anmerkung: Diese Option ist nur dann sichtbar, wenn Group authorization für dieses Verzeichnis aktiviert wurde oder wenn mindestens eine Regel als vertrauenswürdig definiert wurde. Wählen Sie Yes aus, wenn dieses Verzeichnis von der Verzeichnisverwaltung exklusiv zur Gruppenautorisierung oder zur Authentifizierung von Berechtigungsnachweisen verwendet werden soll. Wenn Sie diese Option aktivieren, wird die Anzahl der nicht-Authentifizierungs- und nicht-Berechtigungssuchen auf diesem Verzeichnis minimiert. Weitere Informationen dazu, wie für bestimmte Verzeichnisse definiert wird, dass sie nur zu Authentifizierungszwecken durchsucht werden, finden Sie unter den verwandten Themen.
Enabled	Wählen Sie Yes aus, um die Verzeichnisverwaltung für dieses LDAP-Verzeichnis zu aktivieren. Anmerkung: Sie können die Verzeichnisverwaltung für dieses Verzeichnis auch über die Hauptansicht der Verzeichnisverwaltungsdatenbank aktivieren oder deaktivieren. Wählen Sie hierzu den Verzeichnisverwaltungsdatensatz für das Verzeichnis aus und klicken Sie in der Symbolleiste auf "Enable/Disable".
Attribute to be used as name in an SSO token (map to Notes LTPA_UserNm)	Geben Sie den Namen des Verzeichnisattributs ein, das zurückgegeben werden soll, wenn das Feld LTPA_UserNm angefordert wird. Dieser Wert wird als Benutzername in einem von Domino generierten SSO-Token verwendet. Weitere Informationen zur Namenszuordnung im LTPA-Token, das für die einmalige Anmeldung verwendet wird, finden Sie unter den verwandten Themen.
Abschnitt für die SSO-Konfiguration
Windows™ single sign-on for Web clients	Dieses Kontrollkästchen ist standardmäßig aktiviert, wenn der Server für die einmalige Anmeldung aktiviert ist und für das (neue) Feld LDAP Vendor im Register "LDAP" Active Directory festgelegt ist. Aufgrund dieser Einstellung kann Domino nach den Anmeldenamen für Active Directory (Kerberos) von Benutzern suchen.
Kerberos realm	Geben Sie den Namen der Active Directory-Domäne ausschließlich in Großbuchstaben ein. Der Name muss mit dem im Register "LDAP" angegebenen Domänennamen übereinstimmen. Beispiel: AD.RENOVATIONS.COM

Tabelle 2. Register "Namenskontexte (Regeln)"

Feld	Eingabe
N.C. #	Geben Sie eine Namensregel zur Beschreibung der Benutzernamen in diesem LDAP-Verzeichnis ein. Weitere Informationen zur Verzeichnisverwaltung und zu Namensregeln finden Sie unter den verwandten Themen.
Enabled	Wählen Sie einen der folgenden Werte aus: Yes, um eine bestimmte Regel zu aktivieren. No (Vorgabe), um eine bestimmte Regel zu deaktivieren.
Trusted for Credentials	Wählen Sie einen der folgenden Werte aus: Yes, um zuzulassen, dass Server in diesem LDAP-Verzeichnis Identifikationsdaten für die Authentifizierung von Internet-Clients verwenden, deren eindeutige Namen in diesem Verzeichnis der Regel entsprechen. No (Vorgabe), um zu verhindern, dass Server dieses Verzeichnis zur Authentifizierung von Internet-Clients verwenden, deren eindeutige Namen in diesem Verzeichnis der Regel entsprechen. Weitere Informationen zu vertrauenswürdigen Namensregeln finden Sie unter den verwandten Themen.

Das Konfigurieren der Verzeichnisverwaltung für die erfolgreiche und effiziente Kommunikation mit fremden LDAP-Servern kann eine Herausforderung darstellen, da Administratoren mit LDAP und dem Schema und der Gestaltung des fremden LDAP-Servers vertraut sein müssen. Dieses Register besitzt Assistentenfunktionalität, um Administratoren beim Erstellen von LDAP-Konfigurationsdokumenten für die Verzeichnisverwaltung behilflich zu sein. Einige Felder in diesem Register wurden eingerichtet, um Administratoren zu helfen, die erforderlichen Informationen für das Feld zu suchen und zu überprüfen:
• Wenn Sie auf "Suggest" oder "Verify" klicken, werden ein oder mehrere Agenten auf dem Domino-Server ausgeführt. Diese kommunizieren in vielen Fällen mit einem LDAP-Server. Es wird vorausgesetzt, dass die konfigurierte Verzeichnisverwaltungsdatenbank auf dem Server läuft und keine lokale Replik ist.
• Wenn Sie auf Suggest klicken, wird ein Dialogfeld angezeigt, in dem Administratoren Werte vorgeschlagen werden, wenn sie auf "Start" klicken. Die vorgeschlagenen Werte werden dann in ein Listenfeld angezeigt. Der Administrator kann entweder die Werte auswählen und auf OK klicken oder abbrechen. Ausgewählte Werte werden automatisch in das Verzeichnisverwaltungsdokument kopiert. Dies ist nützlich, wenn der Verzeichnisverwaltungseintrag zum ersten Mal konfiguriert wird.
• Wenn der Administrator auf Verify klickt, wird ein Dialogfeld angezeigt, in dem er überprüfen kann, ob die aktuelle Einstellung ordnungsgemäß funktioniert. Dies ist nützlich, wenn Verzeichnisverwaltungskonfigurationen zum ersten Mal überprüft werden und um zu überprüfen, ob die aktuellen Konfigurationen weiterhin ordnungsgemäß funktionieren.

Tabelle 3. LDAP-Konfigurationsassistent

Feld	Eingabe
Abschnitt für die LDAP-Konfiguration
Hostname	Der Hostname für den Remote-LDAP-Verzeichnisserver, zum Beispiel "ldap.renovations.com". Ein Domino-Server verwendet diesen Hostnamen, um eine Verbindung zu dem Remote-LDAP-Verzeichnisserver herzustellen oder die LDAP-Clients an das LDAP-Verzeichnis zu verweisen. Klicken Sie auf Suggest, um ein Dialogfeld zu öffnen, in dem Sie die Hostnamen aller LDAP-Server suchen können, die in Ihrem DNS aufgeführt sind. Klicken Sie auf Verify, um ein Dialogfeld zu öffnen, in dem Sie überprüfen können, ob jeder Hostname einem aktiven LDAP-Server entspricht. Oder Geben Sie einen weiteren oder mehrere Hostnamen ein, sodass ein Domino-Server einen alternativen LDAP-Verzeichnisserver verwenden kann, wenn der durch den ersten angegebenen Hostnamen dargestellte Verzeichnisserver nicht verfügbar ist. Trennen Sie Hostnamen durch Kommas, Semikolons oder durch die Eingabe jedes Hostnamens auf einer neuen Zeile. Wenn Sie mehrere Verzeichnisserver angeben, von denen jeder auf einem anderen Port empfangsbereit ist, geben Sie die Ports hinter den Hostnamen an. Beispiel: ldap1.acme.com:390, ldap2.renovations.com:391 Die in dieses Feld eingegebenen Portwerte überschreiben die Werte im Feld Port. Wird in diesem Feld kein Port angegeben, wird der im Feld Port angegebene Wert verwendet. Anmerkung: IPv6-Adressen können ebenfalls in diesem Feld angegeben werden. Es ist jedoch wichtig zu beachten, dass bei Angabe einer ifan-IPv6-Adresse in diesem Feld die Verzeichnisverwaltungsdatenbank nicht auf Servern verwendet werden sollte, die älter als Domino 7.0 sind, da IPv6 von älteren Versionen nicht unterstützt wird.
LDAP Vendor	Geben Sie hier den Service-Provider des LDAP-Verzeichnisses ein (Wenden Sie sich gegebenenfalls an Ihren LDAP-Administrator). Der Vorgabewert lautet Domino LDAP. Folgende Optionen stehen zur Auswahl: Domino LDAP IBM Verzeichnisserver Active Directory Sun ONE Directory Server OpenLDAP Novell eDirectory Netscape Directory Server Andere Anmerkung: Sobald Sie einen Wert für "LDAP Vendor" ausgewählt haben, wird der vorgeschlagene Wert für Type of search filter to use im Abschnitt Advanced Options entsprechend angepasst. Sie können diesen Wert jedoch ändern. Weitere Informationen zum Konfigurieren von Suchfiltern in einem Verzeichnisverwaltungsdokument finden Sie unter den verwandten Themen.
Optional authentication credential	Geben Sie für Optional Authentication Credential einen Benutzernamen und ein Kennwort für einen Domino-Server ein, die dieser für eine Verbindung mit einem Remote-LDAP-Verzeichnisserver verwenden kann. Der LDAP-Verzeichnisserver verwendet den Benutzernamen und das Kennwort, um den Domino-Server zu authentifizieren. Wenn Sie keinen Namen und kein Kennwort angeben, versucht der Domino-Server, die Verbindung mit dem LDAP-Verzeichnisserver anonym herzustellen. Klicken Sie auf Verify, um ein Dialogfeld zu öffnen, in dem überprüft wird, ob der eingegebene Benutzername und das Kennwort für jeden Hostnamen gültig sind. Diese Einstellung kann die Änderungserkennung bei LDAP-Servern beeinträchtigen. Weitere Informationen zum Angeben eines Namens und eines Kennworts für Domino-Server in einem Verzeichnisverwaltungsdokument für ein LDAP-Verzeichnis finden Sie über die verwandten Themen.
Base DN for search	Eine Suchbasis, falls der LDAP-Verzeichnisserver eine benötigt. Beispiel: o=Ace Industry o=Ace Industry,c=US Klicken Sie auf Suggest, um ein Dialogfeld zu öffnen, in dem Sie jeden Hostnamen nach möglichen Suchbasen durchsuchen können. Klicken Sie auf Verify, um ein Dialogfeld zu öffnen, in dem Sie überprüfen können, ob für jeden Hostnamen mithilfe der konfigurierten Identifikationsdaten auf die Suchbasis zugegriffen werden kann. Diese Einstellung kann die Änderungserkennung bei LDAP-Servern beeinträchtigen. Weitere Informationen zu besonderen Hinweisen zur Änderungserkennung finden Sie unter den verwandten Themen.
Abschnitt für die Verbindungskonfiguration
Channel encryption	Wählen Sie einen der folgenden Werte aus: SSL (Vorgabe), damit SSL bei der Verbindung des Domino-Servers mit dem Remote-LDAP-Verzeichnisserver verwendet wird. None, damit SSL nicht verwendet wird. Behalten Sie die Auswahl SSL im Feld Channel encryption bei, wenn Sie das Remote-LDAP-Verzeichnis für die Client-Authentifizierung oder für die Suche nach Gruppenmitgliedern für die Datenbankautorisierung verwenden. Wenn Sie "SSL" auswählen, nehmen Sie Eingaben in den folgenden Feldern vor: Accept expired SSL certificates SSL protocol version Verify server name with remote server's certificate Weitere Informationen zum Konfigurieren von SSL in einem Verzeichnisverwaltungsdokument für ein Remote-LDAP-Verzeichnis finden Sie unter den verwandten Themen.
Port	Die Portnummer, die Domino-Server verwenden, um eine Verbindung mit dem Remote-LDAP-Verzeichnisserver herzustellen. Wenn Sie im Feld Channel encryption die Option SSL auswählen, lautet die Nummer des vorgegebenen Ports 636. Wenn Sie im Feld Channel encryption die Option None auswählen, lautet die Nummer des vorgegebenen Ports 389. Wenn der LDAP-Verzeichnisserver keinen der vorgegebenen Ports verwendet, müssen Sie die Portnummer manuell eingeben.
Abschnitt für erweiterte Optionen
Timeout	Die maximale Anzahl Sekunden, die für eine Suche im Remote-LDAP-Verzeichnis zur Verfügung steht. Die Vorgabe lautet 60 Sekunden. Wenn für den Remote-LDAP-Verzeichnisserver auch eine Zeitlimit-Einstellung festgelegt wurde, wird standardmäßig der niedrigere Wert verwendet.
Maximum number of entries returned	Die maximale Anzahl der Einträge, die der LDAP-Verzeichnisserver für einen vom Domino-Server gesuchten Namen zurückgeben kann. Wenn für den LDAP-Verzeichnisserver auch eine maximale Einstellung festgelegt wurde, wird standardmäßig der niedrigere Wert verwendet. Wenn das maximale Zeitlimit des LDAP-Verzeichnisservers überschritten wird, werden die bis zu diesem Zeitpunkt gefundenen Namen zurückgegeben. Die Vorgabe lautet 100.
Dereference alias on search	Wählen Sie eine Option aus, um den Umfang der Aliasauflösung beim Durchsuchen des Remote-LDAP-Verzeichnisses festzulegen: Never Only for subordinate entries Only for search base entries Always (Vorgabe) Wenn in dem LDAP-Verzeichnis keine Aliasnamen verwendet werden, können Sie durch Auswählen der Option Never die Suchleistung verbessern. Weitere Informationen zum Konfigurieren der Aliasauflösung in einem Verzeichnisverwaltungsdokument finden Sie unter den verwandten Themen.
Preferred mail format	Wenn die Verzeichnisverwaltung so konfiguriert ist, dass Notes-Benutzer Mails an Benutzer in einem LDAP-Verzeichnis adressieren dürfen, verwenden Sie diese Option, um das Format der Adressen dieses Verzeichnisses anzugeben, das in Notes-Mail verwendet werden soll. Wählen Sie einen der folgenden Werte aus: Notes Mail Address - Zum Beispiel Jochen Doering/Renovations@Renovations. In der Regel wird diese Option nur verwendet, wenn das LDAP-Verzeichnis ein Domino-Verzeichnis ist. Internet Mail Address (Vorgabe) - Zum Beispiel jdoering@renovations.com. Weitere Informationen zur Verzeichnisverwaltung und zur Notes-Mailadressierung finden Sie unter den verwandten Themen.
Enable name mapping	Wird dieses Kontrollkästchen aktiviert, kann die Verzeichnisverwaltung das Domino-DN-Attribut dem zugehörigen DN-Attribut in einem LDAP-Verzeichnis zuordnen. Diese Option ist standardmäßig deaktiviert. Wenn die Namenszuordnung mithilfe dieses Kontrollkästchens aktiviert wird, werden das neue Feld Attribute is to be used for all lookups und das vorhandene Feld Attribute to be used as Notes distinguished name angezeigt. Anmerkung: Wenn Sie dieses Kontrollkästchen aktivieren, müssen Sie auch einen Wert in das vorhandene Feld Attribute to be used as Notes distinguished name eingeben oder die Vorgabe (Notes DN) akzeptieren, bevor Sie die Maske speichern. Weitere Informationen zur Zuordnung von Benutzernamen beim Verwalten von Domino-Benutzern über ein Active Directory finden Sie unter den verwandten Themen.
Attribute to be used as Notes distinguished name	Wenn ein Domino-Server das Remote-LDAP-Verzeichnis für die Client-Authentifizierung oder die Datenbankautorisierung verwendet, können eindeutige Benutzernamen des LDAP-Verzeichnisses den entsprechenden eindeutigen Namen in Notes zugeordnet werden. Klicken Sie auf Verify, um ein Dialogfeld zu öffnen, in dem Sie überprüfen können, ob es für jeden Hostnamen mindestens ein Objekt gibt, das das Notes-DN-Attribut enthält und die konfigurierten Identifikationsdaten unter der angegebenen Basis verwendet. Weitere Informationen zur Verwendung von eindeutigen Notes-Namen in einem Remote-LDAP-Verzeichnis finden Sie unter den verwandten Themen.
Attribute is to be used for all lookups	Wählen Sie Yes oder No aus. Wenn das Kontrollkästchen Enable name mapping aktiviert ist, ist für diese Option der Wert No festgelegt und die Namenszuordnung ist nur für die Internet-/Web-Authentifizierung aktiviert. Wird für dieses Feld der Wert Yes in Kombination mit Attribute to be used as Notes distinguished name ausgewählt, kann die Domino-Namenszuordnung für alle Verzeichnissuchen verwendet werden, nicht nur für die Internet-/Web-Authentifizierung.
Type of search filter to use	Legen Sie fest, welcher LDAP-Suchfilter zum Durchsuchen des Verzeichnisses verwendet werden soll: Standard LDAP (Vorgabe) Active Directory Domino LDAP IBM Verzeichnisserver Custom Standard LDAP ist in den meisten Fällen ausreichend. Klicken Sie auf Suggest, um ein Dialogfeld zu öffnen, in dem jeder Hostname nach dem wahrscheinlichsten Suchfilter durchsucht werden kann. Klicken Sie auf Verify, um ein Dialogfeld zu öffnen, in dem überprüft werden kann, ob der ausgewählte Suchfilter für jeden Hostnamen passend ist. Anmerkung: Die Optionen Domino LDAP und IBM Verzeichnisserver ermöglichen es dem LDAP-Gateway, von allen speziellen Möglichkeiten eines bestimmten LDAP-Servers zu profitieren. Sobald diese Möglichkeiten ermittelt wurden, können LDAP-Clients entscheiden, ob sie diese nutzen. So kann beispielsweise der LDAP-Server jetzt neue Attribute in seine Root-Verzeichnisservereinträge (DSE) aufnehmen, wodurch die LDAP-Client-Erkennung von dominoAccessGroups-Fähigkeiten direkt unterstützt wird. Weitere Informationen zum Konfigurieren von Suchfiltern in einem Verzeichnisverwaltungsdokument finden Sie unter den verwandten Themen.

Nächste Maßnahme

Wenn Sie im Feld Group Authorization Änderungen vorgenommen haben, gehen Sie wie folgt vor:

1. Warten Sie, bis die Änderung auf alle Server repliziert wurde, die die Verzeichnisverwaltungsdatenbank verwenden, oder erzwingen Sie die Replizierung.

2. Verwenden Sie den Konsolenbefehl Restart Server, um alle Server, die die Verzeichnisverwaltung für die Gruppenautorisierung verwenden, zu stoppen und neu zu starten, sodass jeder Server die Änderung erkennen kann.

Zugehörige Konzepte
Verzeichnisse nur zu Authentifizierungszwecken verwenden
Verzeichnisverwaltung und Domänennamen

Zugehörige Tasks
Suchfilter im Verzeichnisverwaltungsdokument eines Remote-LDAP-Verzeichnisses konfigurieren
Eindeutige Notes-Namen in einem Remote-LDAP-Verzeichnis verwenden
Zuordnung von Benutzernamen konfigurieren, wenn Sie Domino-Benutzer mit Active Directory verwalten
Verzeichnisverwaltung und Notes-Mailadressierung
Aliasauflösung im Verzeichnisverwaltungsdokument eines Remote-LDAP-Verzeichnisses konfigurieren
SSL in einem Verzeichnisverwaltungsdokument eines Remote-LDAP-Verzeichnisses konfigurieren
Benutzername und Kennwort für Domino-Server in einem Verzeichnisverwaltungsdokument eines Remote-LDAP-Verzeichnisses angeben
Benutzernamenzuordnung im SSO-LTPA-Token konfigurieren
In welcher Beziehung stehen Namensregeln zur Suchreihenfolge in Verzeichnissen?
Verzeichnisverwaltung und Suche nach Gruppen für die Datenbankauthentifizierung

Feedback zur Hilfe oder Benutzerfreundlichkeit des Produkts?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe

Feedback zur Hilfe oder Benutzerfreundlichkeit?

Hilfe zur Hilfe