附錄 B   Directory Proxy Server 常見問答集、功能及疑難排解

本附錄包含 Sun ONE Directory Proxy Server 的有用資訊。此文件包含常見問題的解答 (FAQ)、 Directory Proxy Server 特定功能的說明以及疑難排解資訊。

本附錄包含下列各節：

· Directory Proxy Server 常見問答集

· Directory Proxy Server 功能

· 疑難排解

Directory Proxy Server 常見問答集

---

Directory Proxy Server 是什麼？

Directory Proxy Server 是一個為 LDAP 用戶端及 LDAP 伺服器設計的 LDAP 代理伺服器。系統會根據 Directory Proxy Server 組態中定義的規則，將 LDAP 用戶端的要求轉送至 LDAP 伺服器。伺服器傳來的結果會回傳給用戶端，也是根據組態中定義的規則。此程序對用戶端而言完全透明，他們連線到 Directory Proxy Server 的方式與連線到 LDAP 伺服器一樣。

我為什麼需要 LDAP 代理伺服器？

許多企業想要讓外界能看到他們部分的目錄資訊，但是又要保持內部其他部分的私密性。有了 Directory Proxy Server，您就可以輕易達成這個目標，而且不用將目錄的密碼指派給外部的用戶端。 Directory Proxy Server 也可以當做企業目錄服務的高可用性解決方案，並有負載平衡及容錯移轉功能。

另外也提供了額外的安全功能，譬如防護阻絕服務的攻擊與搜尋限制。

Directory Proxy Server 支援哪個版本的 LDAP 通訊協定？

Directory Proxy Server 支援使用 LDAPv2 或 LDAPv3 通訊協定的 LDAP 用戶端或鏈結 LDAP 伺服器。

Directory Proxy Server 支援安全驗證及加密嗎？

Directory Proxy Server支援使用憑證以公鑰形式資料加密的 SSLv3 服務。LDAP 用戶端可用的安全驗證及加密機制，可以使用安全 LDAP 連接埠或 Internet Transport Layer Security (TLS) 模式，這種模式使用 Diffie-Hellman、Digital Signature Standard (DSA)、及 Triple-DES 加密演算法。

Directory Proxy Server 能與有 LDAP 功能的目錄伺服器合用嗎？

Directory Proxy Server 能與支援 LDAP 的目錄伺服器合用。某些目錄產品廠商在自己的行銷文宣中號稱能實作 LDAP，但其實並非如此。 Directory Proxy Server 已與 Sun ONE Directory Server 通過最徹底的測試。

如果使用 Directory Proxy Server 5.0 的主控台，就支援用 Sun ONE Directory Server 5.0 當作組態的存放處。

有可以設定 Directory Proxy Server 的組態公用程式嗎？

Directory Proxy Server 5.0 包含一個 Java 架構的 GUI (主控台)，可用來設定 Directory Proxy Server。此主控台利用 Sun ONE Directory Server 來儲存自己產生的組態。

Directory Proxy Server 功能

---

Directory Proxy Server 能用來防範阻絕服務的攻擊嗎？

是的。您可以限制每個連線處理的同步作業、每個連線所允許的作業數量、同時連線的總數、每個群組 (網路、子網路或根據連結 DN) 的最大同時連線數、及單一 IP 位址的最大同時連線數。

Directory Proxy Server 支援「反向」代理嗎？

嚴格說來， Directory Proxy Server 就是一個反向代理伺服器，但是 LDAP 通訊協定並不支援反向代理的概念。

Directory Proxy Server 能用來防範 LDAP 目錄的「拖網」嗎？

是的。拖網指的是非常廣泛的查詢，用來將您的目錄的一大部分下載回去，許多網站都希望禁止這種行為。 Directory Proxy Server 有很多方式可以禁止或限制拖網行為：

· 搜尋的範圍可以限制在一層的樹狀目錄，整個子目錄則可以隱藏，而且可以針對查詢傳回的項目設定數量限制。

· 您可以禁止非等式搜尋，進而根據長度禁止以排除及子字串搜尋方式、將許多結果傳回的搜尋行為；例如，禁止搜尋以 A-Z 字母為開頭的姓氏。

· 您也可以設定讓 Directory Proxy Server 拒絕無索引的搜尋。無索引的搜尋效率奇差，還可能對效能有不良影響。

Directory Proxy Server 會自動對查詢進行負載平衡嗎？

Directory Proxy Server 對一組後端 LDAP 伺服器支援自動伺服器負載平衡的功能。 Directory Proxy Server 也支援在主 LDAP 伺服器故障時，自動容錯移轉至第二個 LDAP 伺服器。

一個 Directory Proxy Server 伺服器能對幾個 LDAP 伺服器進行負載平衡？

目錄伺服器的效能需求，以及 Directory Proxy Server 執行的工作複雜程度，決定了 Directory Proxy Server 能負載平衡的最佳目錄伺服器數量。例如，如果 Directory Proxy Server 負責的工作很複雜，譬如屬性重新命名，您設定讓 Directory Proxy Server 負責負載平衡的目錄伺服器數量就應該縮減。為避免複雜的 Directory Proxy Server 組態對效能可能產生的影響，請考慮添置 Directory Proxy Server。

可以篩選搜尋要求嗎？

是的。您可以設定讓 Directory Proxy Server 拒絕搜尋特定屬性的搜尋動作。此外，您可以設定讓 Directory Proxy Server 修改傳入的搜尋要求，使其符合指定的最小搜尋基礎、搜尋範圍及時間限制。

可以篩選搜尋結果嗎？

是的。所傳回的搜尋結果項目數量，以及搜尋組包含的屬性，都可以加以篩選。搜尋結果項目也可以根據項目 DN 或內容加以篩選。

存取群組如何定義？

根據用戶端的網路位址，可提供用戶端不同的目錄存取層次。所以可以讓企業防火牆內、外、執行子網路的用戶端，甚至是各台電腦，都有不同的存取層次。此外，可以在用戶端順利完成 LDAP 連結作業或建立 SSL 工作階段時，變更存取層次。

Directory Proxy Server 支援防護密碼驗證嗎？

是的。利用 SASL 機制，便可實作許多防護密碼驗證方法。但是後端目錄伺服器必須支援這些機制。 Directory Proxy Server 不支援 SASL 機制與連線防護及 SASL EXTERNAL 機制合用。

Directory Proxy Server 能自動跟隨轉介嗎？

根據存取群組，可設定下列轉介。您可以設定讓各種存取群組自動跟隨轉介、傳回轉介、或放棄轉介。

Directory Proxy Server 會快取搜尋結果資訊嗎？

Directory Proxy Server 版本 5.0 SP1 不支援搜尋結果快取功能。

Directory Proxy Server 有屬性重新命名的功能嗎？

Directory Proxy Server 可以用透明的方式重新命名用戶端與伺服器之間的屬性名稱。

疑難排解

---

我要如何分析連線嘗試的記錄？

您可設定讓 Directory Proxy Server 使用 syslog 或寫入到特定的記錄檔。您可以從 Stanford University 的 ftp (ftp://ftp.stanford.edu/general/security-tools/swatch) 下載一個叫 swatch 的常見 UNIX 公用程式。swatch 可以用來監視 Directory Proxy Server 產生的記錄檔，並在所定義的事件發生時通知系統管理員。

我已經設定讓 Directory Proxy Server 跟隨轉介。可是當我用 LDAPv2 用戶端執行搜尋時，就碰到 error 32 (無此物件) 或其他錯誤。

為了讓 Directory Proxy Server 接收從後端伺服器傳來的轉介，必須讓其使用 LDAPv3。請確定您已經將每個 LDAP 伺服器內容選取為「僅 LDAP 版本 3」。

我在記錄檔中注意到，就算我的後端伺服器全都正常運作，某些閒置的用戶端連線還是會一直容錯移轉。

您的後端目錄伺服器正在讓閒置連線逾時，然後加以關閉。 Directory Proxy Server 會容錯移轉這些關閉的連線。您也必須設定 Directory Proxy Server 的閒置連線逾時。這樣會清除閒置和外洩的用戶端連線，也可以避免遭受阻絕服務的攻擊。

能夠限制包含 presence 篩選條件的搜尋要求嗎？

Directory Proxy Server 版本 5.0 SP1 沒有限制用戶端使用 presence 篩選條件的直接辦法。但是有二個間接方法可以解決這個問題。

您可以將 ids-proxy-con-forbidden-compare 設定成不要比較的屬性名稱。這個方法限制過嚴，因為會拒絕包含 (mail=*) 及 (mail=Andy*) 過濾條件的搜尋。

另外由於 presence 過濾條件 (attrName=*) 一定會產生相同的結果 (假設資料不變)，我們可以利用 ids-proxy-con-size-limit 屬性及 ids-proxy-sch-SizeLimitProperty 來限制破壞範圍。雖然 LDAP 不要求要以指定的順序傳回項目，但是在大部分 (所有) 的實作下，搜尋結果不是以排序的順序傳回，就是以未排序的順序傳回，而順序每次都一樣。因此如果設定 Directory Proxy Server 有大小限制 (利用 size-limit 屬性或 SizeLimitProperty)，則每次都只會傳回第一個 'n'。因為這些 'n' 項目只能有二組，所以大幅降低了目錄拖網的風險。

請注意， Directory Proxy Server 會儘可能在要求中設定這個大小限制，所以目錄伺服器不需要自己傳送所有的項目。

大小限制屬性讓您能在必要時，套用大小限制的例外狀況。例如假設您有一個項目是 o=A，在其下有 400 個組織單位 (OU)。每個 OU (組織單位) 下都有人。如果您要用戶端看到所有的 OU (組織單位)，可是每次只能看到 5 個人，您可以設定 SizeLimitProperty，讓基準 o=A 及只有一個層次範圍的搜尋不套用任何限制。其他的搜尋就套用 5 的限制。

當我設法執行工作或執行某個主控台功能時，我碰到的錯誤訊息說我必須確認 Administration Server 執行正常，而且此主機有連線到 Administration Server 的權限。

登入到管理 Directory Proxy Server 的 Administration Server 時，Directory Proxy Server 的主控台也產生了錯誤訊息。您可能必須在 Administration Server 的主機上啟動 Sun ONE Console。開啟管理 Directory Proxy Server (就是您嘗試呼叫工作失敗的那一個) 的 Administration Server 伺服器主控台。按一下 [組態] 標籤，然後按一下 [網路] 標籤。在 [連線限制] 下，確定管理 Directory Proxy Server 失敗的 Sun ONE Console 主機沒有被禁止存取 Administration Server。如需詳細資訊，請參閱「Sun ONE Console Server 管理指南」。