KONFIGURIEREN
Warum und wann dieser Vorgang ausgeführt wird
Sie können für die Datenbankautorisierung verwendete Gruppen im primären Domino-Verzeichnis und in einem zusätzlichen Verzeichnis speichern. Bei diesem Verzeichnis kann es sich um ein sekundäres Domino-Verzeichnis, einen erweiterten Verzeichniskatalog oder ein Remote-LDAP-Verzeichnis handeln. Wenn das primäre Domino-Verzeichnis für die Datenbankautorisierung eine Gruppe mit demselben Namen wie das zusätzliche Verzeichnis verwendet, verwendet der Server die Gruppen im primären Domino-Verzeichnis.
Prozedur
Um ein zusätzliches Verzeichnis für die Gruppenautorisierung zu verwenden, führen Sie im Verzeichnisverwaltungsdokument für dieses Verzeichnis die folgenden Schritte aus:
Ein Server verifiziert den Client-Zugriff auf eine Datenbank, nachdem die Client-Authentifizierung abgeschlossen ist. Für die Client-Authentifizierung und die Gruppenautorisierung können unterschiedliche Verzeichnisse verwendet werden. Sie können beispielsweise ein Remote-LDAP-Verzeichnis für die Client-Authentifizierung und einen erweiterten Verzeichniskatalog für die Suche nach Gruppen während der Datenbankautorisierung verwenden.
Anmerkung: Wenn Sie die Option Group Authorization für ein Remote-LDAP-Verzeichnis aktivieren, haben Sie die Möglichkeit, einen benutzerdefinierten Suchfilter auszuwählen, den die Server für die Suche nach Gruppen verwenden sollen.
Für die Datenbankautorisierung verwendete Gruppen verschachteln
Beim Autorisieren des Datenbankzugriffs kann ein Server eine Gruppe durchsuchen, die mit einer in der Datenbank-ACL aufgeführten Gruppe verschachtelt ist, eine Gruppe durchsuchen, die mit der verschachtelten Gruppe verschachtelt ist usw. Dazu ist es jedoch erforderlich, dass sich all diese Gruppen in demselben Verzeichnis befinden.
Wenn Sie die Option Group Authorization für ein sekundäres Domino-Verzeichnis oder einen erweiterten Verzeichniskatalog aktivieren, durchsuchen Server immer auch die verschachtelten Gruppen, die sich im Verzeichnis befinden. Wenn Sie die Option Group Authorization für ein Remote-LDAP-Verzeichnis aktivieren, verwenden Sie die Option Nested group expansion, um festzulegen, ob ein Server verschachtelte Gruppen durchsucht. Wählen Sie "Yes" (Vorgabe) aus, um verschachtelte Gruppen zu durchsuchen oder "No", um zu verhindern, dass verschachtelte Gruppen durchsucht werden. Wenn viele verschachtelte Gruppen vorhanden sind, können Sie durch die Auswahl von "No" die Suchleistung verbessern.
Beachten Sie, dass Domino Namensregeln für die Verzeichnisverwaltung nicht auf Suchvorgänge in verschachtelten Gruppen anwendet. Manchmal stimmt der eindeutige Name einer Gruppe mit den Namensregeln überein, die für ein sekundäres Verzeichnis festgelegt wurden. Für den eindeutigen Namen eines Mitglieds der Gruppe, entweder ein Benutzer oder eine verschachtelte Gruppe, trifft dies aber nicht zu. Dieses Problem lässt sich umgehen, indem die Namensregeln für die Verzeichnisverwaltung nicht angewendet werden. Dann wird für eine beliebige Suchanfrage eine vollständige Namensliste zurückgeben.
Die Beschränkungen bezüglich des Speicherorts für Gruppen, die für die Datenbankautorisierung verwendet werden, gelten nicht für Gruppen, die für andere Zwecke verwendet werden. Der Router kann beispielsweise Gruppen in jedem Verzeichnis durchsuchen, das für die Verzeichnisverwaltung konfiguriert ist. Er kann verschachtelte Gruppen auch dann durchsuchen, wenn sich diese in anderen Verzeichnissen als ihre übergeordneten Gruppen befinden.
Zugehörige Konzepte Standard-ACL-Einträge Verzeichnisverwaltung einrichten Verzeichnisverwaltung und Namensregeln Verzeichnisverwaltung
Zugehörige Tasks Verzeichnisverwaltung für einen erweiterten Verzeichniskatalog Suchfilter im Verzeichnisverwaltungsdokument eines Remote-LDAP-Verzeichnisses konfigurieren Eindeutige Notes-Namen in einem Remote-LDAP-Verzeichnis verwenden