9.2. 设置最小的 Strength Factor
为提高安全性,目录服务器可以被配置为在允许连接前需要一定级别的加密。目录服务器可以为任何连接定义和需要特定的安全稳定性(SFF)。SSF 为任何连接或操作设置由密钥强度定义的最低加密级别。
要要求任何和所有目录操作需要 SSF,请设置
nsslapd-minssf 配置属性。当强制最小 SSF 时,Directory 服务器会查找操作的每种可用加密类型 - TLS 或 SASL - 并决定哪个 SSF 值较高,然后将更高的值与最小 SSF 进行比较。可以同时为某些服务器到服务器连接(如复制)配置 SASL 身份验证和 TLS。
注意
或者,使用
nsslapd-minssf-exclude-rootdse 配置属性。这为所有到目录服务器的连接设置 SSF 设置,但查询根 DSE 除外。在启动操作前,客户端可能需要获取有关服务器配置的信息,如其默认命名上下文。nsslapd-minssf-exclude-rootdse 属性允许客户端获取该信息,而无需首先建立安全连接。
在连接时,会评估连接的 SSF。这允许 STARTTLS 和 SASL 绑定成功,即使这两个连接最初打开常规连接。打开 TLS 或 SASL 会话后,将评估 SSF。任何不符合 SSF 要求的连接都会关闭,并带有 LDAP 未处理以执行错误。
设置最小 SSF 以禁用到目录的不安全连接。
警告
如果您使用没有 SASL 的未加密的 LDAP 协议连接到目录,则第一个 LDAP 消息可以包含绑定请求。在这种情况下,凭证会在服务器取消连接前通过网络发送,因为 SSF 未满足最小值。
使用 LDAPS 协议或 SASL 绑定来确保不会发送凭据。
默认的
nsslapd-minssf 属性值为 0,这意味着服务器连接没有最小 SSF。该值可以设置为任何合理的正整数。该值代表任何安全连接所需的密钥强度。
以下示例将
nsslapd-minssf 参数设置为 128 :
# dsconf -D "cn=Directory Manager" ldap://server.example.com config replace nsslapd-minssf=128 Successfully replaced "nsslapd-minssf"
注意
ACI 可以设置为需要 SSF 进行特定类型的操作,如 第 18.11.2.4 节 “连接中需要级别安全性” 中所示。
通过打开
nsslapd-require-secure-binds 属性,如 第 20.12.1 节 “需要安全绑定” 中所示,绑定操作可能需要安全连接。
