第 3 章 对于加密的连接需要 LDAPS 或 STARTTLS
要防止通过网络发送未加密的密码,您可以将 Directory 服务器配置为要求用户在连接到服务器时使用 LDAPS 或 STARTTLS 加密。
3.1. 使用命令行配置 Directory Server,以只接受使用 LDAPS 或 STARTTLS 加密的连接
默认情况下,Directory 服务器允许使用绑定 DN 和密码进行未加密的连接进行身份验证,这是一个安全风险。假设您不能使用其他安全机制,如基于证书的身份验证或 SASL。在这种情况下,您可以使用 TLS 或 STARTTLS 将 Directory 服务器配置为在向服务器进行身份验证时需要加密的连接。
注意
绑定操作需要安全连接仅适用于经过身份验证的绑定。在没有密码的情况下绑定操作(如匿名和未经身份验证的绑定)可以继续进行标准连接。
前提条件
- 您已经配置了服务器到服务器的连接,如复制协议,以使用安全绑定。
流程
将
nsslapd-require-secure-binds配置参数设置为on:# dsconf -D "cn=Directory Manager" ldap://server.example.com config replace nsslapd-require-secure-binds=on可选: 如果要使用 LDAPS,请禁用纯文本 LDAP 端口:
# dsconf -D "cn=Directory Manager" ldap://server.example.com security disable_plain_port重启实例:
# dsctl instance_name restart
重要
当您启用此功能时,所有连接都需要它。例如,这包括复制协议、同步和数据库链。
其他资源
