Идентификация Web клиентов во вторичных Domino Directory.

Когда Web клиенты соединяются с Domino Web сервером, сервер может искать их сертификаты, во вторичных Domino Directory, чтобы идентифицировать клиентов. Когда Вы устанавливаете Directory Assistance для вторичных Directory, Вы определяете одни или более правил обработки имен. Тогда Domino подтверждает подлинность только Web клиентов из Person документов, которые имеют иерархические имена, которые соответствуют правилу обработки имен.

Чтобы идентифицировать Web клиентов, зарегистрированных во вторичных Domino Directory, Вы можете использовать или Х.509 сертификаты, или имя и пароль.

После того, как Web сервер идентифицировал Web клиента, сервер не может использовать вторичный Domino Directory, чтобы проверить членство Web клиента в группе. Если Вы используете группы в ACLs базе данных на Web сервере, убедитесь что включили группы в первичные Domino Directory серверов.

Вы не можете идентифицировать других клиентов интернета, зарегистрированных во вторичных Domino Directory - только Web клиентов.

Вы можете также идентифицировать Web клиентов, с сертификатами, в LDAP Directory, например Third-Party, LDAP Directory.

Использование Directory Catalog для идентификации Web клиентов.

Чтобы использовать Directory Catalog и облегчить идентификацию Web клиентов, по крайней мере, одна из реплик вторичного Domino Directory, указанного в документе Directory Assistance, должна иметь реплику Directory Catalog.

Если Вы используете имя и пароль, для идентификации Web клиентов зарегистрированных во вторичных Domino Directory, Вы можете добавить поле HTTPPassword, в документ Directory Catalog Configuration, для хранения паролей в Directory Catalog. Если Directory Catalog хранит пароли, Web сервер не нуждается в доступе ко вторичным Directory.

Хотя Вы можете хранить Х.509 сертификаты в Directory Catalog, для идентификации клиентов, делать этого не стоит, Вы значительно увеличите размер Directory Catalog.

Пример. Как сервер просматривает пароль Web клиента, с использованием Directory Catalog.

Организация Acme использует имя и пароль, для идентификации Web клиентов, которые соединяются с Domino Web сервером, Web/West/Acme. Acme регистрирует Web пользователей и их пароли в Directory - Webusers Directory на сервере Directory-W/West/Acme. Имя Пользователя, находятся в формате ou=Web/ ou=West/ o=Acme. Acme запускает задачу DirСat, строит первичный Directory Catalog, на сервере Directory-W/West/Acme. Конфигурация каталога включает Webusers Directory и дополнительное поле HTTPPassword. Acme создает Directory Assistance документ для Directory Webusers, в базе данных Directory Assistance и включает в документ правило ou=/ ou=/ ou=Web/ ou=West/ o=Acme/ c=*. Это правило гарантирует, что только пользователи, которые зарегистрированы в Directory и имеют имена, которые соответствуют указанному формату, могут быть идентифицированы. В секции Replicas, Directory Assistance документа, Acme определяет реплику Webusers Directory на сервере Directory-W/West/Acme.

Acme реплицирует Directory Catalog и базы данных Directory Assistance на сервер Web/West/Acme. Acme не делает реплик Webusers Directory.

Когда Web пользователь Linda Bell, соединяется с сервером Web/West/Acme. Сервер делает следующее:

Ищет запись пользователя в реплике Directory Catalog, для Linda Bell.

Определяет имя как Linda Bell/Web/West/Acme, используя информацию из Directory Catalog.

Использует информацию из Directory Catalog, чтобы решить, что запись для Linda Bell/Web/West/Acme в каталоге, получена из реплики Webusers Directory на сервере Directory-W/West/Acme.

Ищет документ Directory Assistance, для Webusers Directory, в реплике базы данных Directory Assistance.

Видит правило ou=/ ou=/ ou=Web/ ou=West/ o=Acme/ c=*, которому доверяет для идентификации клиентов и решает, что имя Linda Bell/Web/West/Acme соответствует этому правилу.

Видит, что реплика Webusers Directory, которая определена в документе Directory Assistance, соответствует реплике, из записи которой Linda Bell в каталоге был получен.

Смотрит в Directory Catalog, на Web/West/Acme, чтобы проверить пароль Linda Bell.

[image]

Рис. 90 Логика поиска пароля Web пользователя, сервером, с использованием Directory Catalog.

Пример просмотра сертификата Web клиента, во вторичном Domino Directory.

В этом примере, организация Acme использует Х.509 сертификаты, чтобы идентифицировать Web клиентов, которые соединяются с Domino Web сервером, Web/West/Acme. Acme регистрирует Web пользователей и их сертификаты, в Directory Webusers Directory на сервере Directory-W/West/Acme. Имена Web пользователей находятся в формате ou=Web/ ou=West/ o=Acme. Acme реплицирует Webusers Directory на Web/West/Acme сервер.

Acme запускает задачу DirCat, для строительства первичного Directory Catalog на сервере Directory-W/West/Acme. Конфигурация каталога включает Webusers Directory и AcmeWest Directory. Acme реплицирует и устанавливает Directory Catalog, на сервер Web/West/Acme.

Acme создает документ Directory Assistance для Webusers Directory, в базе данных Directory Assistance и включает в документ правило ou=/ ou=/ ou=Web/ ou=West/ o=Acme/ c=*, которому “доверяет” для идентификации. Это правило определяет, что только пользователи, которые зарегистрированы в Directory, с именем в этом формате, могут быть идентифицированы. В секции Replicas, документа Directory Assistance, Acme определяет две реплики Webusers Directory: реплика на Directory-W/West/Acme и на сервере Web/West/Acme.