|
| |
| Sun Java(TM) System Directory Proxy Server 5.2 2005Q1 管理指南 | |
附录 B
Directory Proxy Server 常见问题、功能和疑难解答本附录包含有关 Directory Proxy Server 的有用信息。它包含常见问题 (FAQ) 的解答、某些 Directory Proxy Server 功能的说明和疑难解答信息。
本附录包含以下几个部分:
Directory Proxy Server 常见问题什么是 Directory Proxy Server?
Directory Proxy Server 是针对 LDAP 客户机和 LDAP 服务器的 LDAP 代理服务器。基于 Directory Proxy Server 配置中定义的规则,来自 LDAP 客户机的请求被转发到 LDAP 服务器。来自服务器的结果也基于配置中定义的规则被传递回客户机。此过程对于连接到 Directory Proxy Server 的客户机是完全透明的,就像连接到任何 LDAP 服务器一样。
为什么需要 Directory Proxy Server?
许多企业希望使其目录信息的某些部分对于外部可见,而保留其他部分的目录信息为内部专有。利用 Directory Proxy Server,您可以轻松地实现此目标,而无需为外部客户机分配目录密码。Directory Proxy Server 还可以被用作企业目录服务的具有负载平衡和故障转移功能的高可用性解决方案。
还提供了其他安全功能,例如防止拒绝服务的攻击和搜索限制。
Directory Proxy Server 支持什么版本的 LDAP 协议?
Directory Proxy Server 支持使用 LDAPv2 或 LDAPv3 协议的 LDAP 客户机或链式 LDAP 服务器。
Directory Proxy Server 是否支持安全验证和加密?
Directory Proxy Server 支持 SSLv3 服务,以便使用证书进行基于公共密钥的数据加密。LDAP 客户机可用的安全验证和加密可以使用安全的 LDAP 端口或 Internet 传输层安全性 (TLS) 模型,该模型使用 Diffie-Hellman、数字签名标准 (DSA) 和 Triple-DES 算法。
Directory Proxy Server 能否与任何支持 LDAP 的 Directory Server 一起使用?
Directory Proxy Server 可与任何遵守 LDAP 协议的 Directory Server 一起使用。某些目录产品供应商在其市场宣传中声称实现了 LDAP,但事实上常常是另一码事。已经使用 Sun Java System Directory Server 对 Directory Proxy Server 进行了彻底的测试。
是否有配置实用程序可用来配置 Directory Proxy Server?
Directory Proxy Server 包括一个基于 Java 的 GUI(控制台),可用它来配置 Directory Proxy Server。该控制台使用 Directory Server 来存储它生成的配置。
功能Directory Proxy Server 是否可以防止拒绝服务的攻击?
可以。您可以限制每个连接处理的同时操作数量,每个连接所允许的操作数量,同时连接的总数,每个定义组(网络、子网或基于绑定 DN)的最大同时连接数,以及单一 IP 地址的最大同时连接数。
Directory Proxy Server 支持“反向”代理吗?
从严格意义上来讲,Directory Proxy Server 是一种反向代理;然而,LDAP 协议不支持反向代理的概念。
Directory Proxy Server 是否可以防止 LDAP 目录“拖网”?
可以。拖网是指非常广泛的查询,被设计为用于下载您的大部分目录,这是许多站点希望禁止的行为。Directory Proxy Server 可以以许多方式来禁止或限制拖网:
Directory Proxy Server 是否可以对查询进行自动负载平衡?
Directory Proxy Server 支持在一组后端 LDAP 服务器之间进行自动服务器负载平衡。Directory Proxy Server 还支持在主 LDAP 服务器发生故障的情况下将故障自动转移到辅助 LDAP 服务器。
一台 Directory Proxy Server 可以对多少台 Directory Server 进行负载平衡?
目录服务器的性能需求及 Directory Proxy Server 进行的工作复杂性决定了 Directory Proxy Server 应该能够进行负载平衡的目录服务器的最佳数量。例如,如果 Directory Proxy Server 正在处理复杂的工作,如属性重命名,则配置 Directory Proxy Server 进行负载平衡处理的目录服务器数量应该减少。可以考虑添加更多 Directory Proxy Server 单元以补偿复杂的 Directory Proxy Server 配置对性能可能造成的影响。
是否可以过滤搜索请求?
可以。可以配置 Directory Proxy Server 以拒绝尝试搜索特定属性的搜索。此外,您可以配置 Directory Proxy Server 来修改传入的搜索请求,以符合指定的最低搜索标准、搜索范围以及时间限制。
是否可以过滤搜索结果?
可以。可以根据返回条目的数量和结果集合中包含的属性对结果进行过滤。也可以基于条目 DN 或内容对搜索结果条目进行过滤。
访问组是如何定义的?
基于客户机的网络地址,为客户机提供了对目录的不同访问级别。因此,可以将不同访问级别授予公司防火墙外的客户机、防火墙内的客户机、执行子网上的客户机甚至单台机器。此外,在客户机成功完成 LDAP 绑定操作或建立 SSL 会话之后,还可以更改访问级别。
Directory Proxy Server 是否支持受保护的密码验证?
可以。通过使用 SASL 机制,可以实现各种受保护的密码验证方案。这些机制必须由后端目录服务器提供支持。Directory Proxy Server 不支持具有连接保护的 SASL 机制和 SASL EXTERNAL 机制。
Directory Proxy Server 是否自动跟随引用?
跟随引用是可以基于访问组来进行配置的。可以配置各种访问组以自动跟随引用、返回引用或放弃引用。
Directory Proxy Server 是否缓存搜索结果信息?
Directory Proxy Server 不支持搜索结果缓存。
Directory Proxy Server 是否可以重命名属性?
Directory Proxy Server 可以在客户机和服务器之间透明地重命名属性名称。
疑难解答我如何分析连接尝试的日志?
可以配置 Directory Proxy Server 以使用 syslog 或写入到指定的日志文件中。可以通过以下 ftp 免费从斯坦福大学获得一个称为 swatch 的流行 UNIX 实用程序:ftp://ftp.stanford.edu/general/security-tools/swatch。可以使用 swatch 监视 Directory Proxy Server 生成的日志文件,并在发生定义的事件时通知管理员。
我已经将 Directory Proxy Server 配置为跟随引用。然而,当我使用 LDAPv2 客户机执行搜索时,出现错误 32(没有这样的对象)或某些其他错误。
Directory Proxy Server 为了从后端服务器接收引用,必须使用 LDAPv3。应确保对每台 LDAP 服务器属性选择了“仅限 LDAP 版本 3”。
我在日志文件中发现,即使所有后端服务器都在正常运行,某些空闲的客户机连接也定期进行故障转移。
后端目录服务器使空闲连接超时,并将其关闭。Directory Proxy Server 会对这些关闭的连接进行故障转移。您必须为 Directory Proxy Server 设置空闲连接超时。这将清理空闲和遗漏的客户机连接,并预防一种形式的拒绝服务攻击。
是否有办法限制包含存在过滤的搜索请求?
Directory Proxy Server 不限制客户机使用存在过滤。有两种间接方式来解决此问题:
- 将 ids-proxy-con-forbidden-compare 属性设置为您不希望被比较的属性名称。此方法限制性太强,因为它将拒绝同时包含 (mail=*) 和 (mail=Andy*) 过滤的搜索。
- 使用 ids-proxy-con-size-limit 属性和 ids-proxy-sch-SizeLimitProperty。由于存在过滤 (attrName=*) 始终生成相同的结果(假设数据未更改),可以使用 ids-proxy-con-size-limit 和 ids-proxy-sch-SizeLimitProperty 来限制损坏。虽然 LDAP 不要求以给定顺序返回条目,但在大多数(所有)实施方案下,结果集合都将以排序的顺序或以未排序的顺序返回,并且每次都相同。因此,如果使用大小限制来配置 Directory Proxy Server(使用 size-limit 属性或 SizeLimitProperty),则每次都将只返回这些集合的前 n 个。由于这 n 个条目只能有两组,因此极大地降低了对目录进行拖网的风险。
请注意,只要有可能,Directory Proxy Server 就试图在请求本身中设置此大小限制,因此,目录服务器将不会承担发送所有条目的负荷。
通过大小限制属性,您可以选择在必要时使用异常的大小限制。例如,假设您有一个条目 o=A,在此条目下有 400 个组织单元。在其中的每个组织单元下都有一些人。如果您希望客户机看到所有的组织单元,但每次只能看到 5 个人,那么您可以设置 SizeLimitProperty,以使其不限制基本 o=A 搜索和一级范围搜索。对于所有其他搜索,则限制为 5。
当我尝试执行一项任务或执行某些控制台功能时,获得错误消息,需要我确保 Administration Server 正常运行,并且允许该主机连接到 Administration Server。
登录到正在管理 Directory Proxy Server 的 Administration Server 上,其控制台产生错误消息。可能需要启动 Administration Server 主机上的 Sun Java System Console。打开您在其中未能成功尝试调用任务的、正在管理 Directory Proxy Server 的 Administration Server 的服务器控制台。单击“配置”选项卡,然后单击“网络”选项卡。在“连接限制”下,确保不限制未能成功尝试管理 Directory Proxy Server 的 Sun Java System Console 的主机访问 Administration Server。