Объект "Группа LDAP" хранит данные о конфигурации определенной группы LDAP в дереве Novell® eDirectoryTM. Данная страница используется для конфигурирования или включения нижеописанных опций.
Параметр ссылок
Позволяет клиенту, который поддерживает ссылки, осуществлять поиск объектов в одном сервере, к которому он присоединен. Если на сервере LDAP запрашиваемый объект не найден, клиент получает адрес URL, известный также как ссылка LDAP, содержащий данные, необходимые для соединения с сервером LDAP, на котором имеется информация об объекте.
Предпочитать связывание (связывание запросов с другими серверами NDS)
Сервер LDAP вместо возврата ссылок будет связывать запросы с другими серверами eDirectory, за исключением случаев, когда выполняется постоянный поиск, а также когда элемент отсутствует на локальном сервере, или при обслуживании расширенных операций, возвращающих ссылки.Предпочитать ссылки
Сервер LDAP будет просматривать дерево, если отсутствует сервер LDAP, который работает на другом сервере-реплике, содержащем соответствующие объекты. Если имеется сервер LDAP, работающий на другом сервере-реплике, то будет возвращена ссылка LDAP на этот сервер.Всегда использовать ссылки (Все серверы LDAP NDS в дереве должны поддерживать ссылки)
Сервер LDAP всегда будет возвращать ссылки LDAP. Если ссылка LDAP не существует, возвращается ошибка.Ссылка по умолчанию
Отображает расположение ссылки по умолчанию. Будет возвращаться ссылка LDAP, если сервер LDAP не может установить связь с любым другим сервером-репликой в том же дереве или если отсутствует сервер LDAP, работающий на другом сервере-реплике.
Запрашивать TLS для простых привязок с паролем
Указывает, будет сервер принимать незашифрованные запросы LDAP на простую привязку, содержащие пароли, или нет. Установка данного параметра приведет к тому, что север будет возвращать код ошибки "confidentialityRequired (13)" при попытке клиента выполнить простую привязку с паролем без использования соединения TLS (SSL). Это предотвращает незащищенную передачу паролей.
Примечание. Установка этого параметра предотвращает попытки пользователей осуществить привязку с паролем по незащищенному соединению, так как эти попытки будут неудачными. Однако пароль передается на сервер до того, как будет возвращена ошибка. В этом случае возможен перехват имени пользователя eDirectory и его пароля при попытке привязки. Чтобы обеспечить защиту в такой ситуации, убедитесь, что на странице свойств объекта сервера LDAP установлен параметр "Запрашивать TLS для всех операций".
Имя прокси-пользователя
Позволяет администраторам конфигурировать отдельные объекты (отличные от [Public]) для анонимных привязок. (Анонимной привязкой называется пользовательское соединение с сетевым сервисом, которое не содержит имени пользователя.) Имя прокси-пользователя - это имя объекта пользователя eDirectory. Для прокси-пользователя требуется пароль, и ему назначаются все анонимные привязки.
Если объекту "Группа LDAP" не назначено имя прокси-пользователя, все анонимные запросы к eDirectory будут идентифицироваться как запросы пользователя [Public]. Клиенты LDAP, которые идентифицируются как пользователи [Public], ограничены правами, которые предоставлены [Public]. Поскольку все права eDirectory, предоставленные [Public] для доступа LDAP, также предоставляются всем пользователям eDirectory, использование прокси-пользователя позволяет лучше управлять доступом к информации eDirectory.
Если прокси-пользователь назначен объекту "Группа LDAP", все анонимные запросы проверяются в eDirectory с помощью указанного имени прокси-пользователя. Это позволяет создать пользователя eDirectory, который имеет точно такие права, которые нужно предоставить клиентам LDAP. Как правило, права прокси-пользователя предоставляют большие привилегии, чем права пользователя [Public], и меньшие, чем права других пользователей eDirectory.
Примечание. Прокси-пользователь, созданный в eDirectory, не должен иметь пароля, и для него не должен быть установлен параметр требования смены пароля. Прокси-пользователь не должен иметь возможности создавать или изменять пароль. Анонимные привязки LDAP не имеют паролей; таким образом, любая привязка, которая включает имя пользователя и пароль, рассматривается как привязка пользователя eDirectory. Имя прокси-пользователя может быть каким угодно, хотя чаще всего используется имя LDAP PROXY.
Символ торговой марки (®, TM и т.д.) обозначает торговую марку Novell. Символ звездочки (*) обозначает торговую марку независимого производителя. Информацию о торговых марках см. в разделе Юридическая информация.