设置 TLS 安全性

安全数据库文件必须可供任何人读取。请勿在 key3.db 中包括任何私钥。

如果使用 TLS，则必须安装必要的安全数据库。需要特别指出的是，需要证书和密钥数据库文件。例如，如果采用 Netscape Communicator 的旧数据库格式，则需要以下两个文件：cert7.db 和 key3.db。或者，如果使用 Mozilla 的新数据库格式，则需要以下三个文件：cert8.db、key3.db 和 secmod.db。cert7.db 或 cert8.db 文件中包含受信任证书。key3.db 文件包含客户机的密钥。即使 LDAP 名称服务客户机不使用客户机密钥，此文件也必须存在。secmod.db 文件包含安全模块，如 PKCS#11 模块。如果使用的是旧格式，则不需要此文件。

在运行 ldapclient 之前，应设置并安装本节中介绍的必需的安全数据库文件。

有关如何创建并管理这些文件的信息，请参见针对您使用的 Sun Java System Directory Server 版本的管理员指南中“管理 SSL” 一章中有关配置 LDAP 客户机以使其使用 SSL 一节。配置后，这些文件必须存储在 LDAP 名称服务客户机所期望的位置。属性 certificatePath 用来确定此位置。 此位置缺省为 /var/ldap。

例如，在使用 Netscape Communicator^TM 设置必需的 cert7.db 和 key3.db 文件后，请将这些文件复制到缺省位置。

# cp $HOME/.netscape/cert7.db /var/ldap

# cp $HOME/.netscape/key3.db /var/ldap

然后，向所有人授予读访问权限。

# chmod 444 /var/ldap/cert7.db

# chmod 444 /var/ldap/key3.db

Netscape 在 $HOME/.netscape 目录中管理 cert7.db 和 key3.db 文件，而 Mozilla 将其 cert8.db、key3.db 和 secmod.db 文件放在 $HOME/.mozilla 下的一个子目录中进行管理。如果要将这些安全数据库用于 LDAP 名称服务客户机，则必须将其副本存储在本地文件系统中。