Продукт eGuide представляет собой приложение клиента LDAP. Оно может получать данные из eDirectory и других LDAP-совместимых источников данных. Процесс конфигурирования eGuide включает идентификацию источника данных LDAP и указание способа доступа eGuide к этому источнику данных. Далее приводятся некоторые сведения о сервере LDAP, с которыми следует ознакомиться перед конфигурированием eGuide.
Особенностью серверов LDAP является возможность доступа к данным с использованием анонимной привязки. Анонимную привязку можно рассматривать как гостевую учетную запись. С помощью анонимной привязки пользователь, не идентифицируя себя, может получить доступ к данным LDAP. Серверы LDAP обычно предоставляют ограниченный доступ к данным в анонимном режиме. Это может означать доступ только к некоторым объектам и только к некоторым атрибутам этих объектов.
При использовании eDirectory анонимные пользователи имеют права, назначенные псевдообъекту с именем [Public], или права объекта прокси-пользователя LDAP.
По умолчанию анонимный пользователь имеет те же права на объекты в Каталоге, что и объект [Public]. При создании дерева объекту [Public] присваивается право "Просмотр" на корень дерева. Эти присваиваемые по умолчанию права позволяют анонимным соединениям LDAP просматривать список объектов и их имен в дереве. Однако анонимным соединениям LDAP доступны для просмотра не все атрибуты этих объектов.
В eGuide для операций поиска в основном используется LDAP. Для выполнения операций поиска требуется право "Чтение" на искомый атрибут. Например, для поиска всех пользователей с фамилией Иванов LDAP-соединению требуется право "Чтение" на атрибут фамилии. Права "Просмотр", предоставляемого по умолчанию объекту [Public], недостаточно для выполнения операций поиска LDAP.
С помощью iManager можно назначить объект [Public] опекуном некоторых сегментов дерева с отдельными правами на объекты и атрибуты этих объектов.
Можно также определить прокси-пользователя LDAP. Если указан прокси-пользователь LDAP, анонимный пользователь будет использовать права прокси-объекта вместо прав, присвоенных объекту [Public]. С помощью iManager можно создать прокси-пользователя LDAP и назначить этот объект опекуном части дерева с отдельными правами на объекты и их атрибуты. Затем нужно в свойствах объекта "Группа LDAP" указать характерное имя (DN) прокси-объекта LDAP. Прокси-объект LDAP должен иметь пустой пароль.
Таким образом, если в качестве источника данных LDAP используется eDirectory, выбор параметра "Использовать анонимный доступ" при конфигурировании eGuide позволяет eGuide выполнять поиск в дереве с правами, назначенными объекту [Public] или прокси-пользователю LDAP.
Другой параметр позволяет создать прокси-пользователя eGuide и назначить его опекуном части дерева с отдельными правами на объекты и их атрибуты. Прокси-пользователь eGuide выполняет ту же функцию, что и прокси-пользователь LDAP, за исключением того, что прокси-пользователь LDAP применяется для всех анонимных привязок LDAP, а прокси-пользователь eGuide - исключительно для приложения eGuide.
При конфигурировании eGuide предлагается выбрать либо привязку к Каталогу LDAP в качестве анонимного пользователя, либо использование прокси-пользователя eGuide.
В любом случае, если не удается выполнить поиск с помощью eGuide, вероятно, используемая для поиска учетная запись не имеет достаточно прав для его выполнения.
Другой важной информацией, которую необходимо знать о системе LDAP, является способ обслуживания защищенных соединений. Соединение, о котором идет речь, устанавливается между приложением eGuide и сервисом LDAP. Если конфигурация сервиса LDAP предполагает использование защищенного соединения, необходимо разрешить eGuide также использовать защищенное соединение. Для этого нужно установить флажок "Включить SSL" в мастере быстрой настройки eGuide.
В eDirectory 8.7 для обеспечения защищенного LDAP-соединения используется протокол Transport Layer Security или TLS. TLS представляет собой реализацию протокола Secure Socket Layer (SSL) на базе открытых исходных кодов. Сервис LDAP для eDirectory содержит два параметра, относящихся к TLS.
По умолчанию eDirectory 8.7 необходим протокол TLS для простых привязок с паролем. Эту настройку можно изменить в свойствах объекта "Группа LDAP" для сервиса LDAP. Компания Novell рекомендует активировать этот параметр, чтобы выполнялось шифрование паролей, используемых для привязки к сервису LDAP.
Этот параметр можно посмотреть или изменить в iManager посредством изменения свойств объекта "Сервер LDAP" для сервиса LDAP. Когда этот параметр активирован, выполняется шифрование всех операций запросов и ответов LDAP. По умолчанию этот параметр неактивен.
Если активирован параметр TLS 1 или 2, то для привязки приложения клиента (в данном случае eGuide) к сервису LDAP должен использоваться протокол TLS. Если приложение клиента пытается выполнить привязку без использования TLS, выдается ошибка: "Неверная аутентификационная информация прокси-пользователя, невозможно выполнить аутентификацию в сервере".
При конфигурировании eGuide с помощью мастера быстрой настройки предлагается флажок с названием "Включить SSL". Если для сервиса LDAP активирован любой из параметров TLS, необходимо установить также флажок "Включить SSL" в мастере быстрой настройки eGuide.
В режиме анонимного доступа пароль для простой привязки LDAP не используется, поэтому не требуется устанавливать флажок "Включить SSL" в мастере быстрой настройки.
TLS оказывает существенное влияние на производительность. Если серверы, на которых функционируют eGuide и eDirectory, находятся в одном защищенном домене, можно рассмотреть вопрос об отключении TLS для повышения производительности.