CONFIGURATION
Pourquoi et quand exécuter cette tâche
Pour autoriser un serveur à utiliser un annuaire pour l'authentification client Internet configuré dans une base Directory Assistance, effectuez les opérations suivantes dans le document Directory Assistance de l'annuaire :
Remarque : L'annuaire Domino principal d'un serveur est toujours activé pour l'authentification client, et ce, même si vous créez un document Directory Assistance pour l'annuaire Domino principal et que vous ne sélectionnez pas l'option Make this domain available to: Notes clients and Internet Authentication/Authorization.
Remarque : Utilisez un document de site Internet ou l'onglet Ports - Ports Internet du document Serveur pour contrôler les types d'authentification client autorisés par un serveur de protocole Internet.
Noms acceptés pour l'authentification par nom/mot de passe
Si un serveur utilise une sécurité par nom/mot de passe pour authentifier les clients Internet, sélectionnez les types de noms que le serveur peut accepter des clients. Dans l'onglet Sécurité -> Accès à Internet du document Serveur de l'annuaire Domino principal, sélectionnez Plus de variantes de noms et moins de sécurité ou Moins de variantes de noms et plus de sécurité (valeur par défaut). La sélection s'applique à l'authentification par nom et mot de passe quel que soit l'annuaire, y compris l'annuaire Domino principal.
Même si un serveur peut accepter d'un client un nom autre qu'un nom distinctif pour rechercher une entrée d'utilisateur dans un annuaire, c'est toujours le nom distinctif de l'utilisateur dans l'entrée d'annuaire que le serveur compare aux règles d'accréditation dans le document Directory Assistance pour déterminer s'il doit ou non authentifier le client. Supposez, par exemple, qu'un utilisateur soit enregistré dans un annuaire avec le nom distinctif cn=alice brun,o=Renovations, mais que l'utilisateur configure le nom alice brun sur le client. Lors de l'authentification, le serveur recherche une entrée contenant le nom alice brun. Lorsqu'il trouve l'entrée, il ne peut authentifier le client que si "cn=alice brun,o=renovations" correspond à une règle de dénomination accréditée pour l'annuaire.
Le nom distinctif d'un utilisateur est également utilisé comme base pour le contrôle d'accès dans Domino. Vous devez donc utiliser les noms distinctifs des utilisateurs dans les LCA de bases de documents, dans les groupes utilisés dans les LCA de bases de documents, dans les listes d'accès des documents Serveur et dans les documents Protection de fichier des serveurs Web.
Rencontre de doublons lors de l'authentification client
Si un serveur trouve plusieurs entrées d'annuaire contenant le nom proposé par le client qui correspondent à un nom distinctif valide pour l'authentification, que ce soit dans un ou plusieurs annuaires, le serveur authentifie le client en utilisant l'entrée possédant le mot de passe valide ou le certificat X.509. Si, parmi ces entrées, plusieurs possèdent un mot de passe valide ou un certificat X.509 et le même nom distinctif, le serveur authentifie l'utilisateur en utilisant le premier mot de passe ou certificat X.509 qu'il trouve.
Cohérence des noms de client et des mots de passe entre les protocoles
Si les serveurs Domino authentifient un client via plusieurs protocoles Internet, créez une entrée d'annuaire pour le client avec un nom et un mot de passe s'appliquant à l'ensemble des protocoles, afin de faciliter l'administration d'annuaire. Configurez ensuite le client pour qu'il utilise le même nom et mot de passe pour l'ensemble des protocoles.
Par exemple, si un client se connecte à Domino via HTTP pour la navigation sur le Web et via LDAP pour les services d'annuaire, créez une entrée d'annuaire pour le client avec un nom et un mot de passe et configurez le client pour qu'il utilise ce nom et ce mot de passe pour les deux types de connexions.
Fonctionnalités disponibles pour l'authentification client à l'aide d'un annuaire LDAP distant
Les fonctionnalités suivantes sont spécifiquement disponibles pour l'authentification client à l'aide d'un annuaire LDAP distant :
Par défaut, lorsqu'un serveur authentifie un client Notes, il n'utilise pas les informations contenues dans les documents Personne de l'annuaire Domino. Cependant, si vous activez l'option Comparer les clés Notes publiques avec celles enregistrées dans l'annuairede l'onglet Général du document Serveur du serveur, ce dernier authentifie un utilisateur Notes uniquement si la clé publique présentée par le client Notes correspond à celle du document Personne de l'utilisateur.
Si un utilisateur Notes qui se connecte à un serveur pour authentification est enregistré dans un annuaire Domino secondaire et non pas dans l'annuaire Domino principal du serveur, et que l'option Comparer les clés Notes publiques avec celles enregistrées dans l'annuaireest activée pour le serveur auquel l'utilisateur se connecte, vous devez sélectionner l'optionMake this domain available to: Notes clients and Internet Authentication/Authorizationdans un document Directory Assistance pour permettre à un serveur d'effectuer la comparaison de clés publiques. Ce document Directory Assistance peut être destiné :
Tâches associées Création d'un document de site Internet Assistance d'annuaire de l'annuaire Domino principal Configuration de filtres de recherche dans un document Assistance d'annuaire d'un annuaire LDAP distant Utilisation de noms distinctifs Notes dans un annuaire LDAP distant