|
| |
| Sun Java System Directory Proxy Server 5 2004Q2 管理指南 | |
附錄 B
Directory Proxy Server 常見問答集、功能及疑難排解本附錄包含 Directory Proxy Server 的有用資訊。此文件包含常見問題的解答 (FAQ)、Directory Proxy Server 特定功能的說明以及疑難排解資訊。
本附錄包含下列各節:
Directory Proxy Server 常見問答集Directory Proxy Server 是什麼?
Directory Proxy Server 是一個為 LDAP 用戶端及 LDAP 伺服器設計的 LDAP 代理伺服器。系統會根據 Directory Proxy Server 組態中定義的規則,將 LDAP 用戶端的要求轉送至 LDAP 伺服器。伺服器傳來的結果會回傳給用戶端,也是根據組態中定義的規則。此程序對用戶端而言完全透明,他們連線到 Directory Proxy Server 的方式與連線到 LDAP 伺服器一樣。
為什麼我需要 Directory Proxy Server?
許多企業想要讓外界能看到他們部分的目錄資訊,但是又要保持內部其他部分的私密性。有了 Directory Proxy Server,您可以輕易的達成目標,且不需指派目錄密碼給外部用戶端。Directory Proxy Server 也可以當作企業目錄服務的高可用性解決方案,具有負載平衡及防故障備用模式功能。
另外也提供了額外的安全功能,譬如防護阻絕服務的攻擊與搜尋限制。
Directory Proxy Server 支援哪個版本的 LDAP 通訊協定?
Directory Proxy Server 支援使用 LDAPv2 或 LDAPv3 通訊協定的 LDAP 用戶端或鏈結 LDAP 伺服器。
Directory Proxy Server 支援安全驗證及加密嗎?
Directory Proxy Server 的公鑰形式資料加密使用憑證,支援 SSLv3 服務。LDAP 用戶端可用的安全驗證及加密機制,可以使用安全 LDAP 連接埠或 Internet Transport Layer Security (TLS) 模式,這種模式使用 Diffie-Hellman、Digital Signature Standard (DSA)、及 Triple-DES 加密演算法。
Directory Proxy Server 能與有 LDAP 功能的 Directory Server 合用嗎?
Directory Proxy Server 能與支援 LDAP 的目錄伺服器合用。有些目錄產品廠商在自已的行銷資料中號稱有實作 LDAP,但其實並非如此。Directory Proxy Server 已和 Sun Java System Directory Server 通過最完整的測試。
有可以設定 Directory Proxy Server 的組態公用程式嗎?
Directory Proxy Server 包含一個 Java 架構的 GUI (主控台),可用來設定 Directory Proxy Server。該主控台使用 Directory Server 儲存它所產生的組態。
功能Directory Proxy Server 是否可防止阻絕服務攻擊?
是的。您可以限制每個連線處理的同步作業、每個連線所允許的作業數量、同時連線的總數、每個群組 (網路、子網路或根據連結 DN) 的最大同時連線數、及單一 IP 位址的最大同時連線數。
Directory Proxy Server 支援「反向」代理嗎?
嚴格說來,Directory Proxy Server 就是一個反向代理伺服器,但是 LDAP 通訊協定並不支援反向代理的概念。
Directory Proxy Server 是否可防止 LDAP 目錄的拖網行為?
是的。拖網是指意圖下載大部份目錄的廣泛查詢,這是許多網站都希望禁止的行為。Directory Proxy Server 有數種方法可禁止或限制拖網行為:
Directory Proxy Server 會自動將查詢負載平衡嗎?
Directory Proxy Server 可在一組後端 LDAP 伺服器間,支援自動伺服器負載平衡功能。Directory Proxy Server 也支援在主要 LDAP 伺服器故障時,自動防故障備用模式至次要 LDAP 伺服器。
一台 Directory Proxy Server 可負載平衡多少個 Directory Server?
目錄伺服器的效能需求,以及 Directory Proxy Server 執行的工作複雜程度,決定了 Directory Proxy Server 能負載平衡的最佳目錄伺服器數量。例如,如果 Directory Proxy Server 負責的工作很複雜,譬如屬性重新命名,您設定讓 Directory Proxy Server 負責負載平衡的目錄伺服器數量就應該縮減。為避免複雜的 Directory Proxy Server 組態對效能可能產生的影響,請考慮添置 Directory Proxy Server。
可以篩選搜尋要求嗎?
是的。您可以設定讓 Directory Proxy Server 拒絕搜尋特定屬性的搜尋動作。此外,您可以設定讓 Directory Proxy Server 修改傳入的搜尋要求,使其符合指定的最小搜尋基礎、搜尋範圍及時間限制。
可以篩選搜尋結果嗎?
是的。所傳回的搜尋結果項目數量,以及搜尋組包含的屬性,都可以加以篩選。搜尋結果項目也可以根據項目 DN 或內容加以篩選。
存取群組如何定義?
根據用戶端的網路位址,可提供用戶端不同的目錄存取層次。所以可以讓企業防火牆內、外、執行子網路的用戶端,甚至是各台電腦,都有不同的存取層次。此外,可以在用戶端順利完成 LDAP 連結作業或建立 SSL 工作階段時,變更存取層次。
Directory Proxy Server 支援防護密碼驗證嗎?
是的。利用 SASL 機制,便可實作許多防護密碼驗證方法。後端目錄伺服器必須支援這些機制。Directory Proxy Server 不支援含連線防護的 SASL 機制和 SASL EXTERNAL 機制。
Directory Proxy Server 能自動跟隨轉介嗎?
根據存取群組,可設定下列轉介。您可以設定讓各種存取群組自動跟隨轉介、傳回轉介、或放棄轉介。
Directory Proxy Server 會快取搜尋結果資訊嗎?
Directory Proxy Server 不支援搜尋結果快取功能。
Directory Proxy Server 能夠重新命名屬性嗎?
Directory Proxy Server 可以用透明的方式重新命名用戶端與伺服器之間的屬性名稱。
疑難排解我要如何分析連線嘗試的記錄?
您可設定讓 Directory Proxy Server 使用 syslog 或寫入到特定的記錄檔。您可以從 Stanford University 的 ftp (ftp://ftp.stanford.edu/general/security-tools/swatch) 下載一個叫 swatch 的常見 UNIX 公用程式。swatch 可以用來監視 Directory Proxy Server 產生的記錄檔,並在所定義的事件發生時通知系統管理員。
我已經設定讓 Directory Proxy Server 跟隨轉介。可是當我用 LDAPv2 用戶端執行搜尋時,就碰到 error 32 (無此物件) 或其他錯誤。
為了讓 Directory Proxy Server 接收從後端伺服器傳來的轉介,必須讓其使用 LDAPv3。請確定您已經將每個 LDAP 伺服器內容選取為「僅 LDAP 版本 3」。
我在記錄檔中注意到,就算我的後端伺服器全都正常運作,某些閒置的用戶端連線還是會一直處於防故障備用模式。
您的後端目錄伺服器正在讓閒置連線逾時,然後加以關閉。Directory Proxy Server 會讓這些已關閉的連線處於防故障備用模式。您也必須設定 Directory Proxy Server 的閒置連線逾時。這樣會清除閒置和外洩的用戶端連線,也可以避免遭受阻絕服務的攻擊。
能夠限制包含 presence 篩選條件的搜尋要求嗎?
Directory Proxy Server 沒有限制用戶端使用 presence 篩選條件。但是有二個間接方法可以解決這個問題:
- 將 ids-proxy-con-forbidden-compare 屬性設定成不要比較的屬性名稱。這個方法限制過嚴,因為會拒絕包含 (mail=*) 及 (mail=Andy*) 篩選條件的搜尋。
- 利用 ids-proxy-con-size-limit 屬性及 ids-proxy-sch-SizeLimitProperty。由於 presence 篩選條件 (attrName=*) 一定會產生相同的結果 (假設資料不變),ids-proxy-con-size-limit 屬性及 ids-proxy-sch-SizeLimitProperty 可以用來限制破壞範圍。雖然 LDAP 不要求要以指定的順序傳回項目,但是在大部分 (所有) 的實作下,搜尋結果不是以排序的順序傳回,就是以未排序的順序傳回,而順序每次都一樣。因此如果設定 Directory Proxy Server 有大小限制 (利用 size-limit 屬性或 SizeLimitProperty),每次都只會傳回第一個 'n'。因為這些 'n' 項目只能有二組,所以大幅降低了目錄拖網的風險。
請注意,Directory Proxy Server 會儘可能在要求中設定這個大小限制,所以目錄伺服器不需要自己傳送所有的項目。
大小限制屬性讓您能在必要時,套用大小限制的例外狀況。例如假設您有一個項目是 o=A,在其下有 400 個組織單位。每個 OU 下都有人。如果您要用戶端看到所有的 OU,可是每次只能看到 5 個人,您可以設定 SizeLimitProperty,讓基準 o=A 及只有一個層次範圍的搜尋不套用任何限制。其他的搜尋就套用 5 的限制。
當我設法執行工作或執行某個主控台功能時,我碰到的錯誤訊息說我必須確認 Administration Server 執行正常,而且此主機有連線到 Administration Server 的權限。
登入到管理 Directory Proxy Server 的 Administration Server 時,主控台也產生了錯誤訊息。您可能必須在 Administration Server 的主機上啟動 Sun Java System 主控台。開啟管理 Directory Proxy Server (就是您嘗試呼叫工作失敗的那一個) 的 Administration Server 伺服器主控台。按一下 [組態] 標籤,然後按一下 [網路] 標籤。在 [連線限制] 下,確定沒有禁止無法管理 Directory Proxy Server 的 Sun Java System 主控台存取 Administration Server。如需詳細資訊,請參閱「Sun Java System Console Server 管理指南」。