Domino的Ldap服务与使用

 

LDAP 服务

LDAP（轻型目录访问协议）是搜索和管理某个目录中的项目的标准 Internet 协议，其中项是指与专有名称关联的一个或多个属性。专有名称（例如，cn=Phyllis Spera、ou=Sales、ou=East、o=Acme）是在目录树中唯一确定项的名称。目录可以包含许多类型的项，例如，用户、群组、设备和应用程序数据的项。商业 Internet 客户机（如 Netscape Mail、Microsoft Internet Explorer 和具有 LDAP 帐户的 Notes 客户机）使用 LDAP 来查找目录信息，例如，在邮件寻址期间查找目录信息。还可以开发 LDAP 应用程序以搜索和管理目录内容。请阅读 Domino 和 Notes 附带的 ldapsearch 实用程序，以了解 LDAP 搜索语法。
在服务器上运行 LDAP 任务可以使 LDAP 服务能够处理 LDAP 客户机请求。

LDAP 服务功能
LDAP 服务支持下列功能：
支持 LDAP v3 和 v2 客户机
匿名访问、名称和口令验证、SSL（安全套接字层）连接和 X.509 验证字验证、SASL（简单验证和安全层）协议。
LDAP 操作将主 Domino 目录扩展为辅助 Domino 目录和目录编目
对远程 LDAP 目录进行 LDAP 引用
支持 LDAP 搜索、添加、修改、modifyDN、比较和删除操作
支持两种架构扩展方法，并支持架构发布和架构检查
LDAP 语言标记支持在等价语言中执行 LDAP 搜索
使用第三方、兼容 LDAP 的服务器（例如，Netscape Enterprise 服务器）验证具有口令或 x.509 验证字（存储在运行 LDAP 服务的 Domino 服务器上的 Domino 目录中）的用户。有关设置第三方服务器以便将 Domino 目录用于客户机验证的信息，请参阅服务器文档。
对在网络域编目中配置的数据库内的文档文本进行 LDAP 搜索

除 LDAP 服务之外，Domino 和 Notes 还提供以下 LDAP 功能：
Notes 客户机支持 LDAP。有关详细信息，请参阅 Notes 6 帮助。
用来搜索 LDAP 目录的命令行实用程序 ldapsearch
使用 LDAP 从其他 LDAP 目录引入项并在 Domino 中注册该项的迁移工具
LDAP C API 工具套件
LDAP 服务的工作方式
当 LDAP 任务在服务器上运行时，服务器可以侦听和处理 LDAP 客户机请求。缺省情况下，LDAP 任务自动在 Domino 目录的管理服务器上运行。管理服务器上 LDAP 任务所衍生的架构 daemon 使用“Domino LDAP 架构”数据库将架构更改传播到运行 LDAP 服务的网络域中其他服务器。LDAP 服务网络域 Domino 目录的管理服务器上的 LDAP 任务还验证目录树，以确保 LDAP 服务符合标准的 LDAP 要求，即专有名称的每个部分在将名称部分表示为对象类的目录中均具有相应的项。

LDAP 服务除了使用其主 Domino 目录处理 LDAP 请求外，还可以将 LDAP 请求处理扩展至目录编目和辅助 Domino 目录，并且如果任何 Domino 目录或目录编目中的处理不成功，则可以将 LDAP 客户机指向远程 LDAP 目录。

缺省情况下，LDAP 任务通过 TCP/IP 端口 389 侦听 LDAP 客户机，并接受匿名连接和使用名称和口令安全性绑定的连接。LDAP 服务还可以通过 SSL 端口（通常为端口 636）侦听请求。LDAP 服务可以通过 SSL 端口从匿名 LDAP 客户机以及从使用名称和口令安全性和/或 X.509 验证字验证的 LDAP 客户机接受请求。

要搜索 LDAP 请求中指定的项，LDAP 服务要么执行视图查找，要么执行全文搜索，具体取决于请求中指定的搜索过滤器。视图查找通常快于全文索引搜索。

注意 LDAP 服务始终执行全文搜索，以便在查找服务器上所设置的精简目录编目中定位信息。

LDAP 搜索过滤器指定名称或邮件属性后，LDAP 服务使用视图快速查找项。这些隐藏视图的 PUBNAMES.NTF 模板设计属性已选定“Unicode 标准排序”和“通用”作为排序顺序。Unicode 为 LDAP 客户机能够指定的每个字符提供了唯一的定义，而不管该客户机上配置的是何种语言。使用 Unicode 排序，LDAP 服务可以在使用这些视图时精确处理以不同语言指定的 LDAP 请求。

如果 LDAP 搜索过滤器搜索属性而不是名称或搜索邮件属性，则 LDAP 服务将搜索全文索引（如果存在）。如果不存在全文索引，则 LDAP 服务将使用视图，但搜索的时间将比全文索引搜索更长。

来源：(http://blog.sina.com.cn/s/blog_53864cba0100hfgp.html) - Domino LDAP 服务和目录树验证_wellyn_新浪博客注意 FullName 域中的第一个值定义除 Domino 群组或 Domino 服务器之外的 Domino 目录中任何项的专有名称；ListName 域中的第一个值定义 Domino 群组的专有名称；ServerName 域中的第一个值定义 Domino 服务器的专有名称。

LDAP 服务和目录树验证
在主 Domino 目录管理服务器上启动 LDAP 服务后，它将在服务器控制台上显示以下消息：

LDAP server:”Started verifying Directory Tree on filename”
LDAP server:”Finished verifying Directory Tree on filename”
这些消息表明 LDAP 服务正在验证在此目录的文档中具有 Notes 样式的专有名称的每个部分是否都有单独的文档来定义该名称部分。如果 LDAP 服务检测到名称的一部分丢失其相应的文档，它将在隐藏视图中创建一个文档。以此方式创建附加文档可以确保 LDAP 客户机可以始终使用子树搜索查找原始文档。
例如，如果“个人”文档中的专有名称为 Phyllis Spera/Boston/Acme，并且没有为组织单元 Boston 注册“Domino 验证者”文档，则 LDAP 服务将为 Boston 创建组织单元文档。然后，LDAP 用户可以使用搜索过滤器（指定搜索条件为具有子树范围的“ou=Boston,o=Acme”）来查找“cn=Phyllis Spera,ou=Boston,o=Acme”项。

如果运行 LDAP 服务的服务器是 Domino 目录或扩展目录编目的管理服务器，则 LDAP 服务可以验证目录树。LDAP 服务不验证配置目录或精简目录编目的目录树。

LDAP 服务可以创建三种类型的文档，这取决于 Notes 专有名称丢失的是下列哪个部分：国家/地区、组织单元和组织文档。LDAP 服务将在下列情况下添加这样的文档：

将 Notes 用户名称注册到不受验证者控制的唯一组织单元中。在该情况下，LDAP 服务将创建组织单元文档。
将 Notes 用户名称注册到国家/地区部分。在该情况下，LDAP 服务将创建国家/地区文档。
管理员手动创建包含 Notes 样式专有名称的文档，其中具有与 Notes 验证者文档不一致的组织单元或组织。在该情况下，LDAP 服务将创建组织单元或组织文档。

目录树验证仅应用于通过 Notes 添加和查看的文档的专有名称，因为通过 LDAP 协议添加的项始终具有为每个专有名称部分定义的对象类。
手动运行目录树验证

您可以手动运行目录树验证，例如，如果您自上次启动 LDAP 服务以来已向目录添加文档。要手动运行目录树验证，请从 Domino 目录管理服务器输入此命令：
Tell Ldap VerifyDIT

查找目录树验证所创建的文档
要查找目录树验证过程所创建的文档，请使用 LDAP 客户机并指定以下搜索过滤器：
“creatorsname=servername”
其中 servername 是创建文档的 Domino 的名称。请以 LDAP 格式指定该名称，例如，

“reatorsname=cn=westserver,o=acme”