扩展 secldap 的功能以验证多个数据源

在配置直通身份验证之后，确保 Tivoli Directory Server 启动时直通身份验证服务器已在正常运行。

直通身份验证服务器应该为 LDAP 服务器。

直通身份验证服务器应该始终可访问，以方便直通身份验证的正常工作。

图 1. 直通身份验证正在运行

查看原图（大图）

绑定到 Tivoli Directory Server 的客户端通常不需要知道关于任何直通身份验证配置的信息。

Tivoli Directory Server 确定存在特定客户端的条目，但帮助对客户端进行身份验证的用户密码属性不存在。如果没有在 Tivoli Directory Server 中配置直通身份验证，就不需要在其他服务器上查找凭据。但是，如果将服务器配置来在另一个服务器上执行直通身份验证，那么 Tivoli Directory Server 将继续执行以下步骤。

使用客户端用于绑定到 Tivoli Directory Server 的相同凭据来绑定到其他数据源。

拥有凭据的其他数据源使用成功或无效凭据错误响应 Tivoli Directory Server。

根据从直通服务器获得的结果，对客户端进行身份验证或报告失败。

在直通身份验证配置中将使用以下属性：

ibm-slapdPtaSearchBase：这个必需属性定义直通服务器中的子树基的区分名，对条目的搜索将使用这个区分名。

ibm-slapdPtaAttrMapping：这个必需属性存储直通身份验证的的属性映射。例如，如果 Tivoli Directory Server 中的 'attr1' 映射到直通服务器中的 'attr2'，那么此属性值将为 'attr1$attr2'。在服务器启动期间，Tivoli Directory Server 将在其模式中检查 'attr1' 是否是有效的属性。如果直通服务器正在运行，它还会尝试 'attr2' 是否是直通服务器模式中的有效属性。如果对直通服务器中的 'attr2' 的验证失败，将发出警告。Tivoli Directory Server 中的 'attr1' 是一个单一值。除了直通身份验证，还将在直通服务器中查找由过滤器（'attr2' = Tivoli Directory Server 中的 'attr1' 的值）标识的条目，而该过滤器包含在由 ibm-slapdPtaSearchBase 标识的子树中。这个查找应该得到直通服务器中的一个条目。如果返回了多个条目，则表明绑定失败。如果在直通服务器中找到了单个对应的条目，将对它进行绑定。