本文重点介绍在 Site Administration 中配置 External LDAP,并详细介绍如何通过 qpconfig.xml 定制目录服务,最后附录 5 种常用的 External LDAP 的 qpconfig.xml 中的目录服务的标准配置模板。通过阅读本文,读者能够了解目录服务功能,通过 qpconfig.xml 定制目录服务,以及能从附录中拿到 5 种 External LDAP 的目录服务的标准配置模板。
目录服务概述
目录服务对一个服务器上的用户提供了查找其它网络域中的用户的功能。在 IBM ">Lotus Quickr 8.5.1 for Domino 中,提供了 3 种目录服务类型,如图 1 所示,无目录(本地成员),Domino 服务器和 LDAP 服务器。
无目录 : 不使用用户目录,管理员和场所管理者必须在各个场所的成员资格列表中创建本地成员。任何外部场所成员都不能访问该场所。 Domino 服务器 : 指定 Domino 服务器作为用户目录,
Quickr 将使用本地 Domino 服务器认证任何外部场所成员。 LDAP 服务器 : 指定要连接的外部 LDAP
目录服务器,并通过站点管理链接和 qpconfig.xml 文件配置 LDAP 目录连接。该目录必须是受支持的 LDAP 产品,并且已经通过了此版本 Lotus Quickr 的测试与认证。在 Lotus Quickr 8.5.1 for Domino 中,支持
五种外部 LDAP 目录服务器(见附录)。
图 1. 用户目录服务类型
如果指定 Domino 服务器或者 LDAP 服务器作为用户目录,管理员和场所管理者可从中选取场所成员。只有使用用户目录时才支持以下功能:
场所中集成的 IBM Lotus Sametime 功能 我的场所 单点登录认证 超级用户对服务器的访问权 使用双字节字符集的用户名
使用用户目录还提供以下用户管理功能:
在一个集中位置而不是各个单独场所管理用户信息。 外部成员使用相同的用户名和密码访问其所属的任何场所,而本地成员在各个场所可能有不同的用户名和密码。 许多允许用户同时管理多个场所成员信息的 qptool 命令仅适用于外部成员。
例如,您可以使用 qptool addmember 命令将外部成员添加到场所,但不能添加本地成员。
使用用户目录,本地成员资格依然受支持。安装过程中指定的本地管理员是服务器“站点管理”场所的本地成员。
在站点管理中配置 LDAP 服务器目录服务
配置 LDAP 服务器作为用户目录是最常用的方式,步骤如下:
1. 以管理员身份登录 Lotus Quickr 服务器。
2. 单击站点管理 > 用户目录 > 更改目录。
3. 在类型列表中,选择 LDAP 服务器。
4. 在名称字段中,输入 LDAP 服务器的标准主机名称,如图 2 显示了一个示例配置。
图 2.LDAP 服务器目录服务示例配置
5. 在端口号字段中,输入 LDAP 服务器与其他服务器通信所使用的端口号。缺省值为通常使用的端口 389。
6. 可选: 选中检查与 LDAP 用户目录的 SSL 连接。如果选择该选项并且 Lotus Quickr 服务器和 LDAP 服务器上已配置 SSL,Lotus Quickr 服务器将以 SSL 加密请求方式向 LDAP 用户目录发出所有请求。
7. 可选: 在搜索条件字段中输入一个专有名称,它代表目录名层次结构中开始搜索的位置,如 o=acme, ou=sales,o=acme。 缺省情况下,您指定的搜索条件适用于用户搜索和组搜索。但是,您可以使用 qpconfig.xml 文件为组搜索指定不同的搜索条件。
8. 可选: 单击将搜索范围缩小为场所名,那么从某个场所启动的搜索将限于包含该场所名的用户目录名称。例如,选中该选项后,如果某用户从名为“销售支持”的场所开始搜索目录,那么搜索只查找用户名包含“销售支持”的用户。 要点: 如果您的组织在名称中只使用三个组织单元,请不要选择此设置,因为它将限制您最多使用三个场所。
9. 如果需要用户名和密码才能访问 LDAP 服务器上的目录信息,请执行以下步骤:
单击选中以便在搜索目录时使用以下指定凭证。 输入用户名和 LDAP 专有名称。 输入密码。
10. 可选: 在认证超时和搜索超时字段中,更改以秒为单位的最大时间值,服务器可以在该时间长度内认证用户目录中的用户或执行搜索。两个超时设置的缺省值都为 120 秒,这在多数环境中已足够。如果与 LDAP 服务器的连接很慢,可考虑增大超时值。 如果连接很快,可考虑减小超时值。如果将这些字段留空,那么使用缺省设置。LDAP 服务器可能也配置了超时限制。在这种情况下,有效超时限制为 Lotus Quickr 服务器与 LDAP 服务器二者较短的那个。 注: 不建议指定 0 值,这会使 Lotus Quickr 服务器用于用户认证和搜索的时长不受限制。
11. 选择以下某个选项:
要允许场所管理者创建本地成员,请选择允许管理者在各个场所中创建新用户。 为阻止场所管理者创建本地成员并要求他们从用户目录中选择成员,请单击不允许新用户。
12. 单击下一步。确保完成该步骤,以使更改生效。
配置完成后,使用 LDAP 服务器中的用户访问 Lotus quickr:
http://hostname/lotusquickr
此时 LDAP 服务器中的用户将能成功登陆到 Lotus quickr。