Aide d'IBM Domino 9.0.1 Social Edition Administrator

CONFIGURATION

Création d'un document Directory Assistance pour un annuaire LDAP distant
Pour configurer l'assistance d'annuaire d'un annuaire LDAP distant, créez un document d'assistance d'annuaire pour l'annuaire dans la base sur l'assistance d'annuaires.

Avant de commencer

Prenez soin de lire les informations concernant les services et concepts de l'assistance d'annuaire.

Assurez-vous que vous avez créé et répliqué une base Assistance d'annuaire et configuré les serveurs devant l'utiliser.

Procédure

1. Si vous n'utilisez pas l'annuaire LDAP distant uniquement pour les références de services LDAP, utilisez l'utilitaire PING TCP/IP pour vérifier que les serveurs IBM® Domino devant utiliser l'annuaire LDAP peuvent se connecter au serveur de l'annuaire LDAP distant.

2. Dans Domino Administrator, choisissez Fichier -> Ouvrir serveur, sélectionnez un serveur que vous avez configuré pour utiliser la base sur l'assistance d'annuaires, puis cliquez sur OK.

3. Cliquez sur l'onglet Configuration.

4. Dans le panneau de navigation, développez Annuaire -> Assistance d'annuaire. Si Server Error: File does not exist s'affiche, cela signifie que le serveur sélectionné à l'étape 2 n'est pas configuré pour utiliser la base sur l'assistance d'annuaires.

5. Cliquez sur Ajouter l'assistance d'annuaire.

6. Sur l'onglet Général, renseignez les champs suivants :

Tableau 1. Onglet Général

Champ	Entrée
Section Général
Type de domaine	Choisissez le protocole LDAP.
Nom de domaine	Nom de domaine de votre choix, différent de celui spécifié pour tout autre document d'assistance d'annuaire (IBM Notes ou LDAP) dans la base sur l'assistance d'annuaires. Voir les rubriques suivantes pour plus d'informations sur la configuration de l'assistance d'annuaire et des noms de domaine.
Nom de la société	Nom de la société associée à cet annuaire. Plusieurs documents d'assistance d'annuaire peuvent utiliser le même nom de société.
Ordre de recherche	Numéro d'ordre que suivent les serveurs pour consulter cet annuaire ou permettre à des clients LDAP d'y faire référence par rapport aux autres annuaires configurés dans la base sur l'assistance d'annuaires. Voir les rubriques connexes pour plus d'informations sur l'association des règles de dénomination aux ordres de recherche dans les annuaires.
Make this domain available to	Sélectionnez l'une des options suivantes ou les deux : Notes clients and Internet Authentication/Authorization - Pour utiliser ce répertoire LDAP pour l'adressage du courrier IBM Notes, l'authentification de client Internet (notamment l'authentification de client LDAP) ou pour rechercher les membres des groupes pour l'autorisation de base de documents. Pour l'autorisation de groupe, vous devez également activer Group Authorization. LDAP Clients - pour qu'un serveur exécutant le service LDAP permette aux clients LDAP de se référer à cet annuaire LDAP lorsqu'une recherche LDAP n'aboutit pas dans les annuaires Domino.
Group Authorization	Sélectionnez l'une des options suivantes : Oui pour rechercher des membres de groupes dans cet annuaire LDAP lors de l'autorisation de l'accès à la base de documents. Choisissez Oui pour un seul annuaire, Notes ou LDAP, configuré dans la base sur l'assistance d'annuaires. Non (par défaut) afin d'empêcher la recherche des membres de groupes dans l'annuaire lors de l'autorisation de l'accès à la base de documents. Il n'est pas nécessaire d'activer une règle Trusted for Credentials. Si vous sélectionnez Oui, dans le champ Nested group expansion qui s'affiche, sélectionnez au choix : Oui (option par défaut), pour rechercher des groupes imbriqués (des groupes membres de groupes répertoriés dans les listes de contrôle d'accès de la base de documents). Non, pour rechercher uniquement des membres de groupes répertoriés dans les listes de contrôle d'accès de bases de documents, et non les membres de groupes imbriqués dans ces groupes. Voir les rubriques connexes pour plus d'informations sur l'autorisation des groupes.
Use exclusively for Group Authorization or Credential Authentication	Remarque : Cette option n'est disponible que si le champ Group Authorization a été activé pour cet annuaire, ou si au moins une règle Trusted a été activée. Choisissez Oui pour permettre à l'assistance d'annuaire d'utiliser cet annuaire exclusivement pour les paramètres Group Authorization ou Credential Authentication. Ainsi, cela réduit au minimum le nombre de recherches des non-authentifications et des non-autorisations dans cet annuaire. Voir les rubriques connexes pour savoir comment limiter les annuaires aux recherches de type authentification uniquement.
Activée	Choisissez Oui pour activer l'assistance d'annuaire pour cet annuaire LDAP. Remarque : Vous pouvez également activer et désactiver l'assistance d'annuaire pour cet annuaire à partir de la vue principale de la base Directory Assistance. Sélectionnez l'enregistrement d'assistance d'annuaire correspondant à l'annuaire, puis dans la barre d'outils, cliquez sur Activer/désactiver.
Attribute to be used as name in an SSO token (champ Notes LTPA_UserNm)	Entrez le nom de l'attribut d'annuaire qui doit être renvoyé lorsque le champ LTPA_UserNm est demandé. Cette valeur est utilisée comme nom d'utilisateur dans un jeton de connexion unique généré par Domino. Voir les rubriques connexes pour plus d'informations sur le mappage de noms dans le jeton LTPA utilisé pour la connexion unique.
Section Configuration SSO
Connexion unique Windows™ pour les clients Web	Cette case est cochée par défaut lorsque le serveur est activé pour la connexion unique, et lorsque le (nouveau) champ Fournisseur LDAP dans l'onglet LDAP est Active Directory. Le paramètre permet à Domino de rechercher les noms de connexion Active Directory (Kerberos) des utilisateurs.
Domaine Kerberos	entrez le nom de domaine Active Directory, en utilisant uniquement des majuscules. Le nom doit correspondre au nom de domaine de l'onglet LDAP. Exemple : `AD.RENOVATIONS.COM`

7. Sur l'onglet Contextes de dénomination (règles), pour chaque règle que vous souhaitez définir pour l'annuaire, renseignez les champs indiqués ci-après. Par défaut, une règle tout-astérisque est activée lorsque l'option Trusted for Credentials a pour valeur No.

Tableau 2. Onglet Contextes de dénomination (règles)

Champ	Entrée
N.C. #	Entrez un contexte de dénomination (règle) décrivant les noms d'utilisateur dans l'annuaire LDAP. Voir les rubriques connexes pour plus d'informations sur l'assistance d'annuaire et les règles de dénomination.
Activée	Sélectionnez l'une des options suivantes : Oui pour activer une règle Non (par défaut) pour désactiver une règle
Trusted for Credentials	Sélectionnez l'une des options suivantes : Oui pour permettre aux serveurs d'utiliser les données d'identification de l'annuaire LDAP afin d'authentifier les clients Internet dont les noms distinctifs dans l'annuaire correspondent à la règle. Non (par défaut) afin d'empêcher les serveurs d'utiliser l'annuaire pour authentifier les clients Internet dont les noms distinctifs dans l'annuaire correspondent à la règle. Voir les rubriques connexes pour plus d'informations sur les règles de dénomination sécurisées.

8. Sur l'onglet LDAP, renseignez les champs pour utiliser l'assistant de configuration LDAP.

La configuration de Directory Assistance pour communiquer avec succès et efficacement avec les serveurs LDAP externes peut être une opération délicate, car les administrateurs doivent être familiarisés avec LDAP, ainsi que le schéma et la conception du serveur LDAP externe. Cet onglet donne accès à l'assistant qui aidera les administrateurs à créer les documents de configuration Assistance d'annuaire/LDAP. Plusieurs champs de cet onglet ont été configurés pour aider les administrateurs à rechercher et vérifier les informations requises de ce champ :

Les boutons Suggérer ou Confirmation déclenchent l'exécution d'un ou de plusieurs agents sur le serveur Domino et dans de nombreux cas, la communication est établie avec un serveur LDAP. Il est supposé que la base de documents Assistance d'annuaire en cours de configuration est exécutée sur le serveur et n'est pas une réplique locale.
Le bouton Suggérer ouvre une boîte de dialogue qui permet aux administrateurs de demander des valeurs suggérées en cliquant sur Démarrer. Ces valeurs sont alors renseignées dans une liste déroulante. L'administrateur peut sélectionner les valeurs et cliquer sur OK, ou simplement annuler l'opération. Les valeurs sélectionnées sont automatiquement copiées dans le document Assistance d'annuaire. Cette fonction est utile lorsque vous configurez l'enregistrement Assistance d'annuaire pour la première fois.
Le bouton Confirmation ouvre une boîte de dialogue qui permet à l'administrateur de vérifier le bon fonctionnement du paramètre défini. Cette fonction est utile pour vérifier de nouvelles configurations d'assistance d'annuaire et pour vérifier le bon fonctionnement des configurations existantes.

Tableau 3. Assistant de configuration LDAP

Champ	Entrée
Section Configuration LDAP
Nom d'hôte	Nom d'hôte du serveur de l'annuaire LDAP distant, par exemple, ldap.audimatique.com. Un serveur Domino utilise ce nom d'hôte pour se connecter au serveur d'annuaires LDAP ou pour que les clients LDAP puissent se référer à l'annuaire LDAP. Cliquez sur Suggérer pour ouvrir une boîte de dialogue qui vous permet de rechercher les noms d'hôte des serveurs LDAP répertoriés dans votre domaine DNS. Cliquez sur Confirmation pour accéder à une boîte de dialogue qui vous permet de vérifier si chaque nom d'hôte est un serveur LDAP actif. Ou Entrez un ou plusieurs noms d'hôtes supplémentaires afin qu'un serveur Domino puisse utiliser un autre serveur d'annuaire LDAP si le serveur de l'annuaire représenté par le premier nom d'hôte spécifié n'est pas disponible. Séparez les noms d'hôtes par des virgules ou des points-virgules, ou entrez chaque nom d'hôte sur une nouvelle ligne. Si vous spécifiez plusieurs serveurs d'annuaire et que chacun d'eux écoute sur un port différent, spécifiez les ports à la suite des noms d'hôtes. Par exemple : `ldap1.acme.com:390, ldap2.audimatique.com:391` Les valeurs de port saisies dans ce champ remplacent celles qui ont été indiquées dans le champ Port. Si aucun port n'est spécifié dans ce champ, la valeur stipulée dans le champ Port est utilisée. Remarque : Les adresses IPv6 peuvent également être utilisées dans ce champ. Cependant, n'oubliez pas que si une adresse IPv6 est précisée dans ce champ, la base Directory Assistance ne doit pas être utilisée par les serveurs antérieurs à la version 7.0, puisqu'ils ne gèrent pas les adresses IPv6.
Fournisseur LDAP	Entrez le fournisseur de services de votre annuaire LDAP (si nécessaire, consultez votre administrateur LDAP). La valeur par défaut est Domino LDAP. Sélectionnez l'une des entrées suivantes : Domino LDAP IBM Directory Server Active Directory Sun ONE Directory Server Open LDAP Novell eDirectory Netscape Directory Server Autre Remarque : Une fois que vous avez sélectionné une valeur pour le fournisseur LDAP, la valeur suggérée pour Type of search filter to use sous la section Options avancées est adaptée, mais vous pouvez modifier cette valeur. Voir les rubriques connexes pour plus d'informations sur la configuration des filtres de recherche dans un document d'assistance d'annuaire.
Optional authentication credential for search	Pour l'option Optional Authentication Credential, entrez un nom d'utilisateur et un mot de passe qui devront être présentés par le serveur Domino lorsqu'il se connectera au serveur de l'annuaire LDAP distant. Le serveur de l'annuaire LDAP utilise le nom et le mot de passe pour authentifier le serveur Domino. Si vous ne spécifiez pas de nom et de mot de passe, un serveur Domino essaie de se connecter de façon anonyme. Cliquez sur Confirmation pour ouvrir une boîte de dialogue qui vérifie que le nom d'utilisateur et le mot de passe que vous avez saisis sont valides sur chaque nom d'hôte. Ce paramètre peut affecter la détection des modifications des serveurs LDAP. Voir les rubriques connexes pour plus d'informations sur la spécification d'un nom et d'un mot de passe pour des serveurs Domino dans le document d'assistance d'annuaire d'un annuaire LDAP.
DN de base pour la recherche	Base de recherche, si le serveur d'annuaires LDAP en requiert une. Par exemple : `o=Audimatique Industrie` `o=Audimatique Industrie,c=FR` Cliquez sur Suggérer pour accéder à une boîte de dialogue qui vous permet de rechercher chaque nom d'hôte dans des bases apparentées. Cliquez sur Confirmation pour accéder à une boîte de dialogue qui vous permet de vérifier si la base de recherche est accessible sur chaque nom d'hôte à l'aide des données d'identification configurées. Ce paramètre peut affecter la détection des modifications des serveurs LDAP. Voir les rubriques connexes pour plus d'informations sur des considérations spéciales pour la détection des changements.
Section Configuration des connexions
Chiffrement de canal	Sélectionnez l'une des options suivantes : SSL (valeur par défaut), pour utiliser SSL lorsque le serveur Domino se connecte au serveur d'annuaires LDAP distant. Aucun, pour empêcher l'utilisation de SSL. Conservez la valeur SSL sélectionnée dans le champ Chiffrement de canal si vous utilisez l'annuaire LDAP distant pour l'authentification de client ou pour rechercher les membres de groupes pour l'autorisation de base de documents. Si vous choisissez SSL, effectuez des sélections dans les champs associés suivants : Accepter les certificat SSL expirés Version du protocole SSL Vérifier le nom du serveur avec le certificat du serveur distant Voir les rubriques connexes pour plus d'informations sur la configuration de SSL dans un document d'assistance d'annuaire d'un annuaire LDAP distant.
Port	Numéro de port que les serveurs Domino utilisent pour se connecter au serveur de l'annuaire LDAP distant. Si vous choisissez SSL dans le champ Chiffrement de canal, le port par défaut est 636. Si vous choisissez Aucun dans le champ Chiffrement de canal, le port par défaut est 389. Si le serveur d'annuaires LDAP n'utilise pas l'un des ports par défaut, entrez manuellement un autre numéro de port.
Section Options avancées
Dépassement de délai	Délai maximal de recherche dans l'annuaire LDAP distant. La valeur par défaut est de 60 secondes. Si un délai d'attente est également configuré sur le serveur d'annuaire LDAP distant, la valeur la plus basse est utilisée.
Nombre maximum d'entrées renvoyées	Nombre maximal d'entrées pouvant être renvoyées par un serveur d'annuaire LDAP pour un nom recherché par le serveur Domino. Si une valeur est également définie sur le serveur d'annuaires LDAP, la valeur la plus basse est utilisée. Lorsque le délai d'attente du serveur d'annuaire LDAP est atteint, il renvoie le nombre de noms trouvés jusqu'à ce moment. La valeur par défaut est 100.
Dereference alias on search	Choisissez l'une des options suivantes pour contrôler l'étendue de l'annulation de référence d'alias lors des consultations de l'annuaire LDAP distant : Jamais Only for subordinate entries Only for search base entries Toujours (valeur par défaut) Si les alias ne sont pas utilisés dans l'annuaire LDAP, vous pouvez améliorer les performances en sélectionnant Jamais. Voir les rubriques connexes pour plus d'informations sur la configuration du déréférencement des alias dans un document d'assistance d'annuaire.
Preferred mail format	Si l'assistance d'annuaire est configurée de sorte que les utilisateurs Notes puissent adresser du courrier à des utilisateurs enregistrés dans un annuaire LDAP, utilisez cette option pour indiquer le format des adresses de l'annuaire à utiliser dans le courrier Notes. Sélectionnez l'une des options suivantes : Notes Mail Address - par exemple, `John Doe/Renovations@Renovations`. En principe, cette option est utilisée uniquement lorsque l'annuaire LDAP est un annuaire Domino. Adresse électronique Internet (valeur par défaut) - par exemple, `jdoe@audimatique.com`. Voir les rubriques connexes pour plus d'informations sur l'assistance d'annuaire et l'adressage de courrier Notes.
Enable name mapping	Cette case à cocher permet à l'assistance d'annuaire de mapper l'attribut de nom distinctif Domino à son attribut de nom distinctif dans un annuaire LDAP. Elle est désactivée par défaut. Lorsque le mappage de noms est activé à l'aide de cette case à cocher, le nouveau champ Attribute is to be used for all lookups et le champ existant Attribute to be used as Notes distinguished name deviennent visibles. Remarque : Lorsque vous cochez cette case, vous devez également entrer une valeur dans le champ existant Attribute to be used as Notes distinguished name ou accepter la valeur par défaut (Notes DN) avant d'enregistrer le masque. Voir les rubriques connexes pour plus d'informations sur le mappage de noms d'utilisateur lorsque vous gérez les utilisateurs Domino via un annuaire actif.
Attribute to be used as Notes distinguished name	Si un serveur Domino utilise l'annuaire LDAP distant pour l'authentification client ou pour l'autorisation de base de documents, vous pouvez éventuellement mapper les noms distinctifs des utilisateurs de l'annuaire LDAP aux noms distinctifs Notes correspondants. Cliquez sur Confirmation pour accéder à une boîte de dialogue qui vous permet de vérifier s'il existe au moins un objet contenant l'attribut de nom distinctif de Notes sur chaque nom d'hôte, à l'aide des données d'identification configurées dans la base spécifiée. Voir les rubriques connexes pour plus d'informations sur l'utilisation des noms distinctifs Notes dans un annuaire LDAP distant.
Attribute is to be used for all lookups	Choisissez Oui ou Non. Par défaut, lorsque la case Enable name mapping est cochée, la valeur Non est définie pour cette option et le mappage de noms est activé uniquement pour l'authentification Internet/Web. Si vous sélectionnez Oui pour ce champ conjointement à l'option Attribute to be used as Notes distinguished name, le mappage de noms Domino peut être utilisé pour toutes les recherches d'annuaires et pas seulement pour l'authentification Internet/Web.
Type of search filter to use	Choisissez-en un pour contrôler quels filtres de recherche LDAP sont utilisés pour consulter l'annuaire : Standard LDAP (valeur par défaut) Active Directory Domino LDAP IBM Directory Server Personnalisé L'option Standard LDAP fonctionne dans la plupart des situations. Cliquez sur Suggérer pour accéder à une boîte de dialogue qui permet de rechercher chaque nom d'hôte en utilisant le filtre de recherche le plus probable. Cliquez sur Confirmation pour accéder à une boîte de dialogue qui vous permet de vérifier si le type de filtre de recherche sélectionné est approprié pour chaque nom d'hôte. Remarque : Les options Domino LDAP et IBM Directory Server permettent à la passerelle LDAP d'utiliser les fonctions spéciales d'un serveur LDAP spécifique. Une fois que ces fonctions sont identifiées, les clients LDAP peuvent décider de les utiliser ou non. Par exemple, le serveur LDAP peut maintenant traiter les nouveaux attributs dans les entrées serveur de son répertoire (DSE) racine pour prendre en charge directement la détection du client LDAP des fonctions dominoAccessGroups. Voir les rubriques connexes pour plus d'informations sur la configuration des filtres de recherche dans un document d'assistance d'annuaire.

9. Cliquez sur Enregistrer et fermer.

Que faire ensuite

Si vous avez modifié le champ Group Authorization :

1. Attendez que la modification soit répliquée sur l'ensemble des serveurs utilisant la base Directory Assistance ou effectuez une réplication forcée.

2. Utilisez la commande de console Restart Server pour arrêter et redémarrer chaque serveur utilisant l'assistance d'annuaire pour l'autorisation de groupes, afin que chaque serveur détecte la modification.

Concepts associés
Restriction des annuaires pour les recherches d'authentification seulement
Assistance d'annuaire et noms de domaines

Tâches associées
Configuration de filtres de recherche dans un document Assistance d'annuaire d'un annuaire LDAP distant
Utilisation de noms distinctifs Notes dans un annuaire LDAP distant
Configuration du mappage de nom d'utilisateur lors de la gestion des utilisateurs Domino à l'aide d'Active Directory
Assistance d'annuaire et adressage de courrier Notes
Configuration de l'annulation de référence d'alias dans un document Assistance d'annuaire d'un annuaire LDAP distant
Configuration de SSL dans un document Assistance d'annuaire pour un annuaire LDAP distant
Spécification d'un nom et d'un mot de passe pour les serveurs Domino dans un document Assistance d'annuaire d'un annuaire LDAP distant
Configuration du mappage du nom d'utilisateur dans le jeton LTPA connexion unique
Liens entre les règles de dénomination et les ordres de recherche dans les annuaires
Assistance d'annuaire et recherches de groupes pour l'autorisation de bases de documents

Commentaires Aide ou Convivialité du produit ?

Aide sur l'aide

Tout le contenu de l'aide

Commentaires Aide ou Convivialité ?

Aide sur l'aide

Tout le contenu de l'aide