Hilfe zu IBM Domino Social Edition Administrator 9.0.1

KONFIGURIEREN

Suchfilter im Verzeichnisverwaltungsdokument eines Remote-LDAP-Verzeichnisses konfigurieren
Sie können für Server, die mithilfe der Verzeichnisverwaltung ein Remote-LDAP-Verzeichnis durchsuchen, steuern, welche LDAP-Suchfilter zum Durchsuchen des Verzeichnisses verwendet werden. Verwenden Sie das Feld Type of search filter to use im Verzeichnisverwaltungsdokument, um anzugeben, welche LDAP-Suchfilter zum Durchsuchen des Verzeichnisses verwendet werden sollen.

Warum und wann dieser Vorgang ausgeführt wird

Im Verzeichnisverwaltungsdokument für das Verzeichnis, für das Sie die Verwendung der Suchfilter steuern möchten, geben Sie die zum Durchsuchen des Verzeichnisses zu verwendenden LDAP-Suchfilter im Feld Type of search filter to use an.

Tabelle 1. Optionen für LDAP-Suchfilter

Suchfilter-Option Beschreibung

Standard LDAP (Vorgabe) Es werden vorgegebene LDAP-Suchfilter verwendet, die für die meisten LDAP-Verzeichnisserver eingesetzt werden können, z. B. IBM® Domino, IBM Directory Server und Sun ONE Directory Server.

Active Directory Es werden vordefinierte Suchfilter verwendet, die für Active Directory-Server eingesetzt werden können. Wählen Sie diese Option, wenn es sich bei dem Remote-LDAP-Verzeichnis um ein Active Directory handelt.
Anmerkung: Jedes Attribut in einem Suchfilter sollte im Active Directory indiziert sein. Anderenfalls ist die Suchgeschwindigkeit langsam und die Suchergebnisse sind möglicherweise unzuverlässig.
Diese Option ersetzt die Einstellung WebAuth_AD_Group in der Datei NOTES.INI des Release 5, mit der Active Directory-Gruppen durchsucht werden konnten.

Custom Es können eigene Suchfilter definiert werden.

Benutzerdefinierte Suchfilter definieren

Warum und wann dieser Vorgang ausgeführt wird

Wenn bei Suchen keine Ergebnisse oder die falschen Ergebnisse zurückgegeben werden, müssen Sie möglicherweise eigene Suchfilter definieren. Diese Situation kann eintreten, wenn der Remote-LDAP-Verzeichnisserver ein Schema verwendet, das nicht dem Standard entspricht. In der Regel zielen benutzerdefinierte Filter auf ein bestimmtes Attribut ab, was eindeutige, effiziente Suchen ermöglicht - eindeutig, da der Attributwert für jeden Eintrag unterschiedlich ist und effizient, da es einen Index gibt oder einen anderen schnellen Mechanismus, um eine schnelle Suche zu gewährleisten.

Wenn Sie eigene Suchfilter definieren, sollten Sie mit der für Suchfilter gültigen Syntax vertraut sein, die in RFC 2251 und 2254 beschrieben wird.

Wählen Sie im Feld Type of search filter to use die Option Custom aus und geben Sie an, wie Sie den benutzerdefinierten Suchfilter definieren möchten:

Tabelle 2. Felder zum Definieren des benutzerdefinierten Suchfilters

Feld für benutzerdefinierte Suchfilter Beschreibung

Mail Filter Wenn die Verzeichnisverwaltung so konfiguriert ist, dass IBM Notes-Benutzer nach Mailadressen in dem Verzeichnis suchen können, wird dieser Suchfilter verwendet, um die Namen im Verzeichnis zu suchen. Lassen Sie dieses Feld leer, um den folgenden vorgegebenen Suchfilter zu verwenden:
(|(cn=%*)(|(&(sn=%a)(givenname=%z))(&(sn=%z)(givenname=%a))))
Wenn ein Benutzer "Rolf Schmidt" in einem Mail-Empfänger-Feld angegeben hat, würde der für die LDAP-Suchanforderung verwendete Filter wie folgt lauten:
(|(cn=Rolf Schmidt)(|(&(sn=Rolf)(givenname=Schmidt))(&(sn=Schmidt)(givenname=Rolf))))
Sie können den Mail-Filter anpassen, wenn Benutzer in einem Mail-Empfänger-Feld immer ihr UID-Attribut eingeben. Der benutzerdefinierte Filter würde in etwa wie folgt aussehen:
(uid=%*)
Wenn ein Benutzer BAK12345 in einem Mail-Empfänger-Feld angegeben hat, würde mit diesem Filter der für die LDAP-Suchanforderung verwendete Filter wie folgt lauten:
(uid=BAK12345)

Authentication Filter Wenn die Verzeichnisverwaltung so konfiguriert ist, dass einem Remote-LDAP-Verzeichnis bei der Client-Authentifizierung immer vertraut wird, wird dieser Filter für die Suche nach Namen in diesem Verzeichnis verwendet. Lassen Sie dieses Feld leer, um den folgenden vorgegebenen Suchfilter zu verwenden:
(|(cn=%*)(|(&(sn=%a)(givenname=%z))(&(sn=%z)(givenname=%a))))
Wenn ein Benutzer "Maria Braun" in einem Mail-Empfänger-Feld angegeben hat, würde der für die LDAP-Suchanforderung verwendete Filter wie folgt lauten:
(|(cn=Maria Braun)(|(&(sn=Maria)(givenname=Braun))(&(sn=Braun)(givenname=Maria))))
Sie können den Authentifizierungsfilter anpassen, wenn Benutzer bei der Anmeldung normalerweise ihre Personal-Nummer oder ihr Mail-Attribut angeben. In diesem Fall würde der benutzerdefinierte Filter etwa wie folgt aussehen:
(|(employeeID=%*)(mail=%*))
Wenn ein Benutzer bei der Anmeldung "MB12345" angegeben hat, würde der für die LDAP-Suchanforderung verwendete Filter wie folgt lauten:
(|(employeeID=MB12345)(mail=MB12345))

Authorization Filter Geben Sie einen Suchfilter an, der für die Suche nach Gruppenmitgliedern für die Notes-Datenbankautorisierung verwendet werden soll. Lassen Sie dieses Feld leer, um den folgenden vorgegebenen Suchfilter zu verwenden:
(|(&(objectclass=groupOfUniqueNames)(UniqueMember=%*))(&(objectclass=groupOfNames)(Member=%*)))
In diesem Fall würde eine Suche nach der Mitgliedschaft von "cn=Sabine Sonntag,ou=Vertrieb,o=Renovations" in der Suchanforderung folgenden Filter ergeben:
(|(&(objectclass=groupOfUniqueNames)(UniqueMember=cn=Sabine Sonntag,ou=Vertrieb,o=Renovations))(&(objectclass=groupOfNames)(Member=cn=Sabine Sonntag,ou=Vertrieb,o=Renovations)))
Wenn der LDAP-Server, der für die Erweiterung der ACL-Gruppen aktiviert ist, die Gruppen in einer objectClass von aclGroup speichert, können Sie den folgenden benutzerdefinierten Filter angeben:
(&(objectclass=aclGroup)(Member=%*))
In diesem Fall würde eine Suche nach der Mitgliedschaft von "cn=Sabine Sonntag,ou=Vertrieb,o=Renovations" in der LDAP-Suchanforderung folgenden Filter ergeben:
(&(objectclass=aclGroup)(Member=cn=Sabine Sonntag,ou=Vertrieb,o=Renovations))

Wenn Sie eigene Suchfilter definieren, sollten Sie mit der für Suchfilter gültigen Syntax vertraut sein, die in RFC 2251 und 2254 beschrieben wird.

Syntax für benutzerdefinierte LDAP-Suchfilter

Warum und wann dieser Vorgang ausgeführt wird

Um einen eigenen Suchfilter zu definieren, geben Sie die Parameter in die vorgegebenen LDAP-Suchfilter ein, die einen Namensteil der zu suchenden Namen darstellen.

Tabelle 3. In vorgegebenen LDAP-Suchfiltern zu verwendende Parameter

Namensteil Definition Beispiel für Namensteil (in Fett dargestellt) Parameter für den Namensteil

Vorname Die Zeichenfolge vom ersten Zeichen bis zum ersten Leer- oder Satzzeichen Alex M. Davidson %a

Nachname Die Zeichenfolge vom letzten Leer- oder Satzzeichen bis zum letzten Zeichen Alex M. Davidson %z

Der vollständige Name Vollständiger Name Alex M. Davidson %*

Lokaler Namensteil Lokaler Teil einer RFC 822-Mailadresse amd@renovations.com %l

Domänenteil Domänenteil einer RFC 822-Mailadresse amd@renovations.com %d

Beliebiger String-Wert Der String-Wert des Attributs oder Objekts, nach dem gesucht wird. Wenn eine Suche beispielsweise eine Filter mit "uid=%s" enthält, dann lautet der Teil des Namens, der %s ersetzt, in diesem Fall "amd". %s

Beispiel

Tabelle 4. Beispiele für benutzerdefinierte LDAP-Suchfilter

Gesuchter Name Formel des Suchfilters im Verzeichnisverwaltungsdokument Für die Namenssuche verwendeter Suchfilter

Alex M Davidson (|(givenname=%a)(sn=%z) (cn=%*)(mail=%l)) (|(givenname=Alex)(sn=Davidson)
(cn=Alex M. Davidson)(mail=""))

amd (EmpID=%*) (EmpID=amd)

amd (EmpID=%*) (EmpID="")

amd (mail=%*@renovations.com) (mail=amd@renovations.com)

amd (mail=%*@*) (mail=amd@*)

amd@renovations.com (mail=*@%d) (mail=*@renovations.com)

amd@renovations.com (mail=%*) (mail=amd@renovations.com)

amd@renovations.com (uid=%l) (uid=amd)

blue (color=%*) (color=blue)

Zugehörige Konzepte
Verzeichnisverwaltung einrichten

Zugehörige Tasks
Verzeichnisverwaltungsdokument für ein Remote-LDAP-Verzeichnis erstellen

Feedback zur Hilfe oder Benutzerfreundlichkeit des Produkts?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe

Feedback zur Hilfe oder Benutzerfreundlichkeit?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe

Suchfilter-Option	Beschreibung
Standard LDAP (Vorgabe)	Es werden vorgegebene LDAP-Suchfilter verwendet, die für die meisten LDAP-Verzeichnisserver eingesetzt werden können, z. B. IBM® Domino, IBM Directory Server und Sun ONE Directory Server.
Active Directory	Es werden vordefinierte Suchfilter verwendet, die für Active Directory-Server eingesetzt werden können. Wählen Sie diese Option, wenn es sich bei dem Remote-LDAP-Verzeichnis um ein Active Directory handelt. Anmerkung: Jedes Attribut in einem Suchfilter sollte im Active Directory indiziert sein. Anderenfalls ist die Suchgeschwindigkeit langsam und die Suchergebnisse sind möglicherweise unzuverlässig. Diese Option ersetzt die Einstellung `WebAuth_AD_Group` in der Datei `NOTES.INI` des Release 5, mit der Active Directory-Gruppen durchsucht werden konnten.
Custom	Es können eigene Suchfilter definiert werden.

Feld für benutzerdefinierte Suchfilter	Beschreibung
Mail Filter	Wenn die Verzeichnisverwaltung so konfiguriert ist, dass IBM Notes-Benutzer nach Mailadressen in dem Verzeichnis suchen können, wird dieser Suchfilter verwendet, um die Namen im Verzeichnis zu suchen. Lassen Sie dieses Feld leer, um den folgenden vorgegebenen Suchfilter zu verwenden: `(\|(cn=%)(\|(&(sn=%a)(givenname=%z))(&(sn=%z)(givenname=%a))))` Wenn ein Benutzer "Rolf Schmidt" in einem Mail-Empfänger-Feld angegeben hat, würde der für die LDAP-Suchanforderung verwendete Filter wie folgt lauten: `(\|(cn=Rolf Schmidt)(\|(&(sn=Rolf)(givenname=Schmidt))(&(sn=Schmidt)(givenname=Rolf))))` Sie können den Mail-Filter anpassen, wenn Benutzer in einem Mail-Empfänger-Feld immer ihr UID-Attribut eingeben. Der benutzerdefinierte Filter würde in etwa wie folgt aussehen: `(uid=%)` Wenn ein Benutzer `BAK12345` in einem Mail-Empfänger-Feld angegeben hat, würde mit diesem Filter der für die LDAP-Suchanforderung verwendete Filter wie folgt lauten: `(uid=BAK12345)`
Authentication Filter	Wenn die Verzeichnisverwaltung so konfiguriert ist, dass einem Remote-LDAP-Verzeichnis bei der Client-Authentifizierung immer vertraut wird, wird dieser Filter für die Suche nach Namen in diesem Verzeichnis verwendet. Lassen Sie dieses Feld leer, um den folgenden vorgegebenen Suchfilter zu verwenden: `(\|(cn=%)(\|(&(sn=%a)(givenname=%z))(&(sn=%z)(givenname=%a))))` Wenn ein Benutzer "Maria Braun" in einem Mail-Empfänger-Feld angegeben hat, würde der für die LDAP-Suchanforderung verwendete Filter wie folgt lauten: `(\|(cn=Maria Braun)(\|(&(sn=Maria)(givenname=Braun))(&(sn=Braun)(givenname=Maria))))` Sie können den Authentifizierungsfilter anpassen, wenn Benutzer bei der Anmeldung normalerweise ihre Personal-Nummer oder ihr Mail-Attribut angeben. In diesem Fall würde der benutzerdefinierte Filter etwa wie folgt aussehen: `(\|(employeeID=%)(mail=%*))` Wenn ein Benutzer bei der Anmeldung "MB12345" angegeben hat, würde der für die LDAP-Suchanforderung verwendete Filter wie folgt lauten: `(\|(employeeID=MB12345)(mail=MB12345))`
Authorization Filter	Geben Sie einen Suchfilter an, der für die Suche nach Gruppenmitgliedern für die Notes-Datenbankautorisierung verwendet werden soll. Lassen Sie dieses Feld leer, um den folgenden vorgegebenen Suchfilter zu verwenden: `(\|(&(objectclass=groupOfUniqueNames)(UniqueMember=%))(&(objectclass=groupOfNames)(Member=%)))` In diesem Fall würde eine Suche nach der Mitgliedschaft von "cn=Sabine Sonntag,ou=Vertrieb,o=Renovations" in der Suchanforderung folgenden Filter ergeben: `(\|(&(objectclass=groupOfUniqueNames)(UniqueMember=cn=Sabine Sonntag,ou=Vertrieb,o=Renovations))(&(objectclass=groupOfNames)(Member=cn=Sabine Sonntag,ou=Vertrieb,o=Renovations)))` Wenn der LDAP-Server, der für die Erweiterung der ACL-Gruppen aktiviert ist, die Gruppen in einer objectClass von aclGroup speichert, können Sie den folgenden benutzerdefinierten Filter angeben: `(&(objectclass=aclGroup)(Member=%*))` In diesem Fall würde eine Suche nach der Mitgliedschaft von "cn=Sabine Sonntag,ou=Vertrieb,o=Renovations" in der LDAP-Suchanforderung folgenden Filter ergeben: `(&(objectclass=aclGroup)(Member=cn=Sabine Sonntag,ou=Vertrieb,o=Renovations))`

Namensteil	Definition	Beispiel für Namensteil (in Fett dargestellt)	Parameter für den Namensteil
Vorname	Die Zeichenfolge vom ersten Zeichen bis zum ersten Leer- oder Satzzeichen	Alex M. Davidson	%a
Nachname	Die Zeichenfolge vom letzten Leer- oder Satzzeichen bis zum letzten Zeichen	Alex M. Davidson	%z
Der vollständige Name	Vollständiger Name	Alex M. Davidson	%*
Lokaler Namensteil	Lokaler Teil einer RFC 822-Mailadresse	amd@renovations.com	%l
Domänenteil	Domänenteil einer RFC 822-Mailadresse	amd@renovations.com	%d
Beliebiger String-Wert	Der String-Wert des Attributs oder Objekts, nach dem gesucht wird.	Wenn eine Suche beispielsweise eine Filter mit "uid=%s" enthält, dann lautet der Teil des Namens, der %s ersetzt, in diesem Fall "amd".	%s

Gesuchter Name	Formel des Suchfilters im Verzeichnisverwaltungsdokument	Für die Namenssuche verwendeter Suchfilter
Alex M Davidson	`(\|(givenname=%a)(sn=%z) (cn=%*)(mail=%l))`	`(\|(givenname=Alex)(sn=Davidson)` `(cn=Alex M. Davidson)(mail=""))`
amd	`(EmpID=%*)`	`(EmpID=amd)`
amd	`(EmpID=%*)`	`(EmpID="")`
amd	`(mail=%*@renovations.com)`	`(mail=amd@renovations.com)`
amd	`(mail=%@)`	`(mail=amd@*)`
amd@renovations.com	`(mail=*@%d)`	`(mail=*@renovations.com)`
amd@renovations.com	`(mail=%*)`	`(mail=amd@renovations.com)`
amd@renovations.com	`(uid=%l)`	`(uid=amd)`
blue	`(color=%*)`	`(color=blue)`