第 9 章 配置安全连接
默认情况下,客户端和服务器通过标准连接连接到 Red Hat Directory Server。标准连接不使用任何加密,因此清晰的服务器和客户端之间发送信息。
目录服务器支持 TLS 连接、STARTTLS 连接和 SASL 身份验证,它提供了加密层和安全,即使被截获了目录数据也是如此。
9.1. 需要安全连接
目录服务器提供以下使用加密连接的方法:
- LDAPS
- 当您使用 LDAPS 协议时,连接开始使用加密,并成功或失败。但是,不会通过网络发送未加密的数据。因此,首选 LDAPS 而不是通过未加密的 LDAP 使用 STARTTLS。
- LDAP 的 STARTTLS
- 客户端通过 LDAP 协议建立未加密的连接,然后发送 STARTTLS 命令。如果命令成功,则所有进一步的通信都会被加密。警告如果 STARTTLS 命令失败,且客户端没有取消连接,则所有进一步的数据(包括身份验证信息)都通过网络发送未加密的数据。
- SASL
- 简单的身份验证和安全层(SASL)可让您使用外部身份验证方法(如 Kerberos)验证用户。详情请查看 第 9.10 节 “设置 SASL 身份映射”。
