Im LDAP-Gruppenobjekt sind die Konfigurationsdaten für eine definierte LDAP-Gruppe innerhalb Ihres Novell® eDirectoryTM-Baums gespeichert. Mit dieser Seite können Sie die folgenden Optionen konfigurieren bzw. aktivieren.
Verweisoptionen
Ermöglicht einem Verweise unterstützenden Client, nach Objekten auf einem einzelnen Server zu suchen, mit dem er verbunden ist. Sollte sich das angeforderte Suchobjekt nicht auf dem LDAP-Server befinden, mit dem der Client verbunden ist, erhält der Client eine als LDAP-Verweis formulierte URL, die die erforderlichen Informationen zur Herstellung einer Verbindung zu einem LDAP-Server enthält, der über Informationen zu dem Objekt verfügt.
Chaining bevorzugen (Anforderungen mit anderen NDS-Servern verketten)
Der LDAP-Server verkettet die Anfrage mit anderen eDirectory-Servern anstatt Verweise zurückzugeben, außer in den folgenden Fällen: wenn ein Dauersuchvorgang bearbeitet wird und sich kein Eintrag auf dem lokalen Server befindet oder wenn eine beliebige erweiterte Operation durchgeführt wird, die Verweise zurückgibt.Verweise bevorzugen
Der LDAP-Server überquert den Baum, wenn kein LDAP-Server auf einem anderen Reproduktionsserver läuft, der die relevanten Objekte enthält. Wenn ein LDAP-Server auf einem anderen Reproduktionsserver läuft, wird ein LDAP-Verweis auf diesen Server zurückgegeben.Immer Verweise (alle NDS-LDAP-Server im Baum müssen Verweise unterstützen).
Der LDAP-Server gibt stets einen LDAP-Verweis zurück. Ist kein LDAP-Verweis vorhanden, wird ein Fehler zurückgegeben.Standardverweis
Gibt den Standort des Standardverweises an. Ein LDAP-Verweis wird zurückgegeben, wenn der LDAP-Server keinen anderen Reproduktionsserver im selben Baum kontaktieren kann oder wenn auf dem anderen Reproduktionsserver kein anderer LDAP-Server läuft.
TLS für einfache Bindung mit Passwort erforderlich
Gibt an, ob der Server unverschlüsselte LDAP-Einfachbindungs-Anfragen mit einem Passwort zulässt. Bei Auswahl dieser Option gibt der Server einen Fehlercode "Vertraulichkeit erforderlich (13)" aus, wenn ein Client den Versuch einer einfachen Bindung mit einem Passwort unternimmt, ohne eine TLS- (SSL-) Verbindung zu verwenden. Dadurch wird verhindert, dass Passwörter unverschlüsselt übertragen werden.
Hinweis: Die Auswahl dieser Option hält Benutzer in der Regel davon ab, Bindungen mit Passwörtern über unverschlüsselte Verbindungen herzustellen, da ein Fehler beim Bindungsversuch auftritt. Das Passwort wird jedoch an den Server gesendet, bevor die Bindung abbricht. Es ist daher möglich, dass ein eDirectory-Benutzername und ein Passwort bei einem fehlgeschlagenen Bindungsversuch aufgezeichnet werden. Stellen Sie sicher, dass die Option "TLS für alle Vorgänge erforderlich" auf der Eigenschaftenseite für das LDAP-Serverobjekt ausgewählt ist, um ein solches Szenario zu vermeiden.
Proxy-Benutzername
Ermöglicht Verwaltern, für anonyme Bindungen eine andere Identität als [Public]-Benutzer zu konfigurieren. (Eine anonyme Bindung ist eine Verbindung eines Benutzers mit einem Netzwerkservice, in der kein Benutzername verwendet wird.) Der Proxy-Benutzername ist der Name eines eDirectory-Benutzerobjekts. Der Proxy-Benutzer muss über ein Passwort verfügen; er wird allen anonymen Bindungen zugewiesen.
Wird dem LDAP-Gruppenobjekt kein Proxy-Benutzername zugewiesen, werden alle anonymen Anforderungen bei der Überprüfung als [Public]-Benutzer bei eDirectory zugelassen. LDAP-Clients, die als [Public]-Benutzer zugelassen werden, unterliegen den Beschränkungen der Rechte, die Sie dem [Public]-Benutzer zuweisen. Da die eDirectory-Rechte, die Sie dem [Public]-Benutzer für den LDAP-Zugriff gewähren, auch allen eDirectory-Benutzern gewährt werden, können Sie den Zugriff auf eDirectory-Informationen besser steuern, wenn Sie einen Proxy-Benutzernamen verwenden.
Wird dem LDAP-Gruppenobjekt ein Proxy-Benutzername zugewiesen, werden alle anonymen Anforderungen mit dem von Ihnen ausgewählten Proxy-Benutzernamen bei eDirectory überprüft. Auf diese Weise können Sie einen eDirectory-Benutzer einrichten, der über genau die Rechte verfügt, die Sie Ihren LDAP-Clients einräumen möchten. In der Regel verfügen Proxy-Benutzer über mehr Privilegien als [Public]-Benutzer und über weniger Privilegien als andere eDirectory-Benutzer.
Hinweis: Der Proxy-Benutzername, den Sie in eDirectory erstellen, muss über ein Null-Passwort verfügen und sollte so konfiguriert werden, dass keine Passwortänderungen erforderlich sind. Darüber hinaus sollte verhindert werden, dass der Proxy-Benutzer ein Passwort erstellen oder ändern kann. Anonyme LDAP-Bindungen verfügen nicht über ein Passwort, sodass alle Bindungen, die sowohl einen Benutzernamen als auch ein Passwort enthalten, als Bindungen von eDirectory-Benutzern angesehen werden. Sie können einen beliebigen Proxy-Benutzernamen festlegen, in der Regel wird jedoch "LDAP PROXY" verwendet.
Ein Markensymbol (®, TM usw.) kennzeichnet eine Novell-Marke. Ein Sternchen (*) kennzeichnet eine Drittanbieter-Marke. Informationen über Marken finden Sie unter Rechtliche Hinweise.