5. LDAP服務(wù)的安全

當(dāng)你和一個(gè)目錄服務(wù)通許的時(shí)候，除非你采取額外步驟加密通訊那么用戶信息時(shí)以明碼方式傳輸?shù)? 在一些機(jī)構(gòu)中, 例如醫(yī)院和研究機(jī)構(gòu)，這個(gè)不僅僅是不可接受的，而且是違法的. 任何個(gè)人信息通過(guò)公共網(wǎng)絡(luò)傳輸時(shí)，都需要注意保護(hù)密碼數(shù)據(jù).

在實(shí)際中, 在LDAP傳輸中要處理兩種細(xì)心: 密碼數(shù)據(jù)和記錄數(shù)據(jù). 這些數(shù)據(jù)一般地被分別存儲(chǔ)在服務(wù)器上, 并使用不同的協(xié)議來(lái)傳輸(理想地), 因?yàn)長(zhǎng)DAP來(lái)源于固有的不安全. 在OD和AD中, 密碼數(shù)據(jù)是由Kerberos處理的, 而記錄數(shù)據(jù)由LDAP處理. 以為Kerberos是一個(gè)很安全的協(xié)議, 密碼很安全. 為了使記錄數(shù)據(jù)安全，一般地管理員使用SSL來(lái)加密LDAP通訊。

A. 生成服務(wù)器安全證書(shū)

在可以使用SSL加密之前，你需要獲得一個(gè)安全證書(shū). 你或者生成一個(gè)自簽名證書(shū)，或者從根證書(shū)提供商那里購(gòu)買(mǎi)(VeriSign, Thawte等). 你應(yīng)該使用根證書(shū)， 而對(duì)于我們這個(gè)練習(xí)使用自簽名證書(shū)。

Mac OS X服務(wù)器已經(jīng)預(yù)設(shè)了一個(gè)自簽名證書(shū)，進(jìn)入Server admin選擇工具欄中的"Certificates"按鈕，選擇表中"Default"可找到按字符順序排列的證書(shū).

更多的詳細(xì)信息可以從上一節(jié)中的Server administration手冊(cè)得到。

B. 在OD上實(shí)施SSL

執(zhí)行下面的步驟來(lái)使主OD的LDAP服務(wù)安全.
1. 在Server Admin-> [你的服務(wù)器名]->Open Directory->Settings->LDAP里，選中"Enable SSL"項(xiàng)，并在證書(shū)下拉列表中選擇默認(rèn)的"Default"服務(wù)器證書(shū)

2. 點(diǎn)擊"Policy"標(biāo)簽，然后Binding標(biāo)簽. 默認(rèn)情況目錄綁定是打開(kāi)的，但不是強(qiáng)制的. 如果你不希望匿名用戶可以訪問(wèn)你的目錄記錄，那么選擇"Require clients to bind to directory".

3. 在Binding標(biāo)簽中的安全一節(jié)中, 由附加的提升LDAP服務(wù)安全級(jí)別的選項(xiàng), 它們改進(jìn)安全性的同時(shí)，也有可能阻止合法用戶. 如果在你的環(huán)境中有老式系統(tǒng)，你需要測(cè)試每一個(gè)選項(xiàng)對(duì)他們的影響。

注: 你必須配置你的客戶端機(jī)器也使用SSL.

4. 解除客戶端的OD綁定并把主OD降級(jí)為單獨(dú)的普通服務(wù)器. (譯者注: 為了進(jìn)行下面小節(jié)6的操作)

Mac OS X Leopard與目錄服務(wù)(AD/OD)集成寶典(5)