KONFIGURIEREN
Warum und wann dieser Vorgang ausgeführt wird
Um einem Server die Verwendung eines Verzeichnisses für die Internet-Client-Authentifizierung zu ermöglichen, das in einer Verzeichnisverwaltungsdatenbank eingerichtet wurde, führen Sie im Verzeichnisverwaltungsdokument für dieses Verzeichnis die folgenden Schritte aus:
Anmerkung: Das primäre Domino-Verzeichnis eines Servers ist immer für die Client-Authentifizierung aktiviert. Dies gilt auch, wenn Sie ein Verzeichnisverwaltungsdokument für das primäre Domino-Verzeichnis erstellen und die Option Make this domain available to: Notes clients and Internet Authentication/Authorization nicht auswählen.
Anmerkung: Über das Internet-Site-Dokument oder das Register "Ports - Internet-Ports" des Serverdokuments überwachen Sie die für einen Internetprotokoll-Server möglichen Client-Authentifizierungstypen.
Für die Namens- und Kennwortauthentifizierung akzeptierte Namen
Wenn ein Server die Namens- und Kennwortauthentifizierung für Internet-Clients verwendet, wählen Sie die Namenstypen aus, die der Server von den Clients akzeptieren kann. Wählen Sie im Register Sicherheit -> Internetzugriff des Serverdokuments im primären Domino-Verzeichnis entweder Mehr Namensvariationen mit geringerer Sicherheit oder Weniger Namensvariationen mit höherer Sicherheit (der Standardwert) aus. Die hier von Ihnen getroffene Auswahl ist für die Authentifizierung mit Namen und Kennwort in allen Verzeichnissen, einschließlich des primären Domino-Verzeichnisses, gültig.
Ein Server kann auch andere Namen als den eindeutigen Namen eines Clients für die Suche nach einem Benutzereintrag in einem Verzeichnis verwenden. Es ist jedoch immer der eindeutige Benutzername des Verzeichnisses, den der Server mit den vertrauenswürdigen Regeln im Verzeichnisverwaltungsdokument vergleicht, um den Client zu authentifizieren. Eine Benutzerin wird beispielsweise in einem Verzeichnis mit dem eindeutigen Namen "cn=Anke Braun,o=Renovations" registriert, aber die Benutzerin konfiguriert den Namen "Anke Braun" auf dem Client. Während der Authentifizierung sucht der Server nach einem Eintrag für den Namen "Anke Braun". Wenn er den Eintrag findet, kann er den Client nur authentifizieren, wenn "cn=Anke Braun,o=Renovations" mit einer vertrauenswürdigen Namensregel für dieses Verzeichnis übereinstimmt.
Der eindeutige Name eines Benutzers bildet außerdem die Basis für die Zugriffskontrolle in Domino. Daher müssen Sie eindeutige Benutzernamen in Datenbank-ACLs, in den in Datenbank-ACLs verwendeten Gruppen, in Zugriffslisten der Serverdokumente und in Dateischutzdokumenten für Web-Server verwenden.
Während der Client-Authentifizierung werden doppelt Namen gefunden
Wenn der Server mehr als einen Verzeichniseintrag findet, der den vom Client bereitgestellten Namen enthält und einem gültigen eindeutigen Namen für die Authentifizierung entspricht (innerhalb eines Verzeichnisses oder in mehreren Verzeichnissen), authentifiziert der Server den Client anhand dieses Eintrags mit dem gültigen Kennwort oder dem X.509-Zertifikat. Wenn mehrere Einträge ein gültiges Kennwort oder ein X.509-Zertifikat und denselben eindeutigen Namen haben, authentifiziert der Server den Benutzer, indem er das erste gefundene Kennwort oder X.509-Zertifikat verwendet.
Konsistente protokollübergreifende Client-Namen und -Kennwörter
Wenn Domino-Server einen Client über mehrere Internetprotokolle authentifizieren müssen, sollten Sie die Verzeichnisverwaltung dadurch erleichtern, dass Sie einen Verzeichniseintrag für diesen Client erstellen, der einen Namen und ein Kennwort enthält, der für alle Protokolle gültig ist. Anschließend sollten Sie den Client so einrichten, dass er denselben Namen und dasselbe Kennwort für alle Protokolle verwendet.
Wenn ein Client beispielsweise über HTTP für Web-Browsing und über LDAP für Verzeichnisservices Verbindungen mit Domino herstellt, erstellen Sie einen Verzeichniseintrag mit einem Namen und einem Kennwort für den Client und richten Sie den Client so ein, dass er denselben Namen und dasselbe Kennwort für beide Verbindungstypen verwendet.
Funktionen für die Client-Authentifizierung unter Verwendung eines Remote-LDAP-Verzeichnisses
Die folgenden Funktionen sind speziell für die Client-Authentifizierung unter Verwendung eines Remote-LDAP-Verzeichnisses verfügbar:
Standardmäßig verwendet ein Server für die Authentifizierung eines Notes-Clients nicht die in den Personendokumenten im Domino-Verzeichnis vorhandenen Informationen. Wenn Sie jedoch im Serverdokument des Servers im Register "Allgemein" die Option Öffentliche Schlüssel von Notes mit den im Domino-Verzeichnis gespeicherten Schlüsseln vergleichen auswählen, authentifiziert der Server Notes-Benutzer nur, wenn der öffentliche Schlüssel des Notes-Clients mit dem öffentlichen Schlüssel im Personendokument des Benutzers übereinstimmt.
Wenn Notes-Benutzer, die zum Authentifizieren eine Verbindung mit einem Server herstellen, in einem sekundären Domino-Verzeichnis und nicht im primären Domino-Verzeichnis des Servers registriert sind und die Option Öffentliche Schlüssel von Notes mit den im Domino-Verzeichnis gespeicherten Schlüsseln vergleichen für den Server aktiviert ist, mit dem die Benutzer eine Verbindung herstellen, müssen Sie die Option Make this domain available to: Notes clients and Internet Authentication/Authorization im Verzeichnisverwaltungsdokument auswählen, damit der Server die öffentlichen Schlüssel vergleichen kann. In diesem Verzeichnisverwaltungsdokument können sich Angaben befinden über:
Zugehörige Tasks Internet-Site-Dokument erstellen Verzeichnisverwaltung für das primäre Domino-Verzeichnis Suchfilter im Verzeichnisverwaltungsdokument eines Remote-LDAP-Verzeichnisses konfigurieren Eindeutige Notes-Namen in einem Remote-LDAP-Verzeichnis verwenden