实现登录模块的 SSL 支持

要在 LDAP 服务器（策略后端）与 Configuration Manager 之间配置 SSL 通信，必须执行以下步骤：

1. 前提条件是，必须将 LDAP 服务器配置为支持通过 SSL 进行客户机验证。您可以从 http://docs.sun.com/source/816-6698-10/ 上在《Sun ONE Directory Server 5.2 Administration Guide》中找到更多详细信息。

2. 在 Java Web Console 的可信赖证书数据库中安装 LDAP 服务器的证书或其 CA 的证书：

   # cd $JAVA_HOME/bin # ./keytool -import -file server_cert.cer -keystore /etc/opt /webconsole/keystore

   ---

   注意 –

   初始默认密钥库口令为 changeit。在生产环境中更改此口令是非常重要的一点。

   ---

3. 运行以下脚本以便使 Configuration Manager 指向您的 LDAP 服务器：

   # /usr/share/webconsole/apoc/configure

4. 运行 smreg 命令以便为 LDAP 登录模块启用 SSL 通信：

   # /usr/sbin/smreg add -m -b optional -o ldap.provider.url="ldaps://<LDAP_SERVER_HOST>:<LDAP_SERVER_PORT>" -o ldap.provider.authentication=simple -o ldap.baseDN="<LDAP_BASEDN>" -o ldap.userAttribute="<LDAP_USER_UNIQUE_ATTRIBUTE>" -o ldap.search.userDN="<LDAP_SEARCH_USER>" -o ldap.search.password="<LDAP_SEARCH_PASSWORD>" com.sun.apoc.authentication.LdapLoginModule;

   ---

   注意 –

   必须将占位符（例如 "LDAP_SERVER_HOST" 和 "LDAP_SERVER_PORT"）替换为在步骤 3 中配置 Configuration Manager 期间指定的实际值。如果允许匿名 LDAP 访问，则可以省略 ldap.search.userDN 和 ldap.search.password 参数。

   ---

5. 重新启动 Java Web Console：

   # /usr/sbin/smcwebserver restart