在目录服务器中使用 SSL

安全套接字层 (Secure Sockets Layer, SSL) 在目录服务器和客户端之间提供加密通信和可选验证。可以通过 LDAP 使用 SSL，也可以将 SSL 与 DSML-over-HTTP 结合使用。默认情况下通过 LDAP 启用 SSL，但如果使用 DSML-over-HTTP，则可以轻松地启用 SSL。此外，还可以将复制配置为使用 SSL 在服务器之间进行安全通信。

如果在简单验证（绑定 DN 和密码）中使用 SSL，将对服务器所接收和发送的所有数据进行加密。加密可保证保密性和数据完整性。客户端可以选择使用证书，通过简单验证和安全层 (Simple Authentication and Security Layer,SASL) 进行目录服务器验证或第三方安全机制验证。基于证书的验证使用公钥密码学，以防止伪造和模拟客户端或服务器。

目录服务器可以在单独的端口上同时进行 SSL 通信和非 SSL 通信。出于安全考虑，您还可以将所有通信限制为使用 LDAP 安全端口。客户端验证也是可以配置的。可以将客户端验证设置为必需或允许。此设置用于确定您所执行的安全级别。

SSL 可支持 Start TLS 扩展操作，从而为常规 LDAP 连接提供安全性。客户端可以绑定到标准 LDAP 端口，然后使用传输层安全协议保护连接。Start TLS 操作允许客户端具有更大的灵活性，并且有助于简化端口分配。

SSL 提供的加密机制也可用于属性加密。启用 SSL 允许您在后缀上配置属性加密，以便在目录中存储数据时保护数据。有关详细信息，请参见加密属性值。

为了获取额外的安全性，您可以通过访问控制指令 (Access Control Instruction, ACI) 设置对目录内容的访问控制。ACI 需要特定的验证方法，并可确保只能通过安全通道传输数据。通过设置 ACI，可以弥补使用 SSL 和证书的不足之处。有关详细信息，请参见第 7 章，目录服务器访问控制。

默认情况下通过 LDAP 启用 SSL，如果使用 DSML-over-HTTP，则可以轻松地启用 SSL。此外，您可能需要对 SSL 配置的某些方面进行修改，如以下部分所述。