第 1 章 启用到目录服务器的 TLS 加密连接
默认情况下,Red Hat Directory Server 在不加密的情况下提供 LDAP 服务。要提高安全性,您可以在 Directory 服务器中配置 TLS,使复制环境中的客户端或其他主机能够使用加密的连接。然后,他们可以在端口 389 或端口 636 上的 LDAPS 协议中使用 STARTTLS 命令进行安全连接。
您可以使用 bind Distinguished Name (DN)和密码或使用基于证书的身份验证来使用 TLS 与简单身份验证。
目录服务器的加密服务由 Mozilla 网络安全服务(NSS)提供,它是 TLS 和基本加密功能库。NSS 包含基于软件的加密令牌,其为联邦信息处理标准(FIPS) 140-2 认证。
1.1. 加密到 Directory 服务器的连接的不同选项
要使用加密连接连接到 Directory 服务器,您可以使用以下协议和框架:
- LDAPS
-
当您使用 LDAPS 协议时,连接开始使用加密,并可成功或失败。但是,不会通过网络发送未加密的数据。因此,首选使用 LDAPS 而不是通过未加密的 LDAP 使用
STARTTLS。 - 使用 LDAP 的 STARTTLS
客户端通过 LDAP 协议建立未加密的连接,然后发送
STARTTLS命令。如果命令成功,则所有进一步的通信都会被加密。警告如果
STARTTLS命令失败,并且客户端不会取消连接,所有进一步的数据(包括身份验证信息)通过网络发送未加密。- SASL
- 简单身份验证和安全层(SASL)框架可让您使用外部身份验证方法(如 Kerberos)验证用户身份。
