9.9. 保护服务器连接

在为识别的用户设计验证方案和用于保护目录中信息的访问控制方案后,下一步是为在服务器和客户端应用程序之间传递信息的完整性而设计的方法。
对于客户端连接和服务器连接的服务器,Directory 服务器支持各种安全连接类型:
  • 传输层安全性(TLS)
    为了通过网络提供安全通信,目录服务器可以在传输层安全(TLS)上使用 LDAP。
    TLS 可以与来自 RSA 的加密算法一起使用。为特定连接选择的加密方法是客户端应用程序和目录服务器之间的协商结果。
  • 启动 TLS
    目录服务器也支持启动 TLS,这是通过常规的未加密 LDAP 端口发起传输层安全(TLS)连接的方法。
  • 简单身份验证和安全层(SASL)
    SASL 是安全框架,这意味着它设置一个系统,允许不同的机制向服务器验证用户,这取决于客户端和服务器应用程序中启用了哪些机制。它还可在客户端和服务器之间建立一个加密的会话。在目录服务器中,SASL 与 GSS-API 一起使用以启用 Kerberos 登录,并可用于几乎所有服务器到服务器连接,包括复制、链接和通过传递身份验证。(SASL 无法与 Windows 同步一起使用。)
对于处理敏感信息(如复制)以及一些操作(如 Windows 密码同步)需要的操作,推荐使用安全连接。目录服务器可以同时支持 TLS 连接、SASL 和非安全连接。
SASL 身份验证和 TLS 连接可以同时配置。例如,可以将 Directory 服务器实例配置为要求 TLS 连接到服务器,并支持复制连接的 SASL 身份验证。这意味着不需要选择在网络环境中使用 TLS 还是 SASL;您可以使用两者。
也可以为与服务器连接设置最低级别的安全性。安全强度因 措施的关键强度,它如何实现安全连接。可以设置 ACI,要求仅在连接特定强度或更高级别时才进行某些操作(如密码更改)。也可以设置最小 SSF,它实际上可以禁用标准连接,并且每个连接都需要 TLS、启动 TLS 或 SASL。Directory 服务器同时支持 TLS 和 SASL,并且服务器计算所有可用连接类型的 SSF 并选择强度。
有关使用 TLS、启动 TLS 和 SASL 的更多信息,请查看管理指南