|
| |
| Sun Java(TM) System Directory Server 5.2 2005Q1 �� ���? | |
�η� A
Sun Crypto Accelerator ���� ����� �ηϿ����� Directory Server�� �Բ� Sun Crypto Accelerator ���带 ����Ͽ� ���� ����� ����� SSL(Secure Sockets Layer) �w�����; ����� ������ ���� ��� ��� ���� �����մϴ�.
���� �� ���� ����ǥ A-1���� Sun Crypto Accelerator ���带 ����Ͽ� SSL ���� ����; ����Ű�� '�� ���� �����ؾ� �ϴ� ���� ����Ǿ� �ֽ4ϴ�.
SSL �w����ݰ� SSL ����� ���� �ڼ��� ���� �� ���� �ܼ�; ���� �� ����ϴ� Sun Java System ����� �Բ� �w�����; ����ϴ� ���: 11��, "���� �� ��ȣȭ ��"�� ��v�Ͻʽÿ�.
��ū �ۼ�Directory Server�� ��ū�� ��й�ȣ�� ����Ͽ� ���� ���忡 �ִ� �ش� ��ȣȭ Ű �ڷῡ �����մϴ�. ��ū: user@realm ���; ����ϸ�, ���⼭ user�� ���� ������ ����ڷμ�, ��ȣȭ Ű �� �ڷ��� ��/�ڸ� ��Ÿ���� realm: ���� ������ ����8��, ����� �� �ش� Ű �� �ڷ��� �?�� ���� �����Դϴ�. ���� ���� user�� �ý����� ����� ��d�� �ƹ��� ��踦 ���� �ʿ䰡 ��8�� ���忡�� ���˴ϴ�. ����� �� ������ ���� �ڼ��� ����: ���� ���� fǰ ���?�� ��v�Ͻʽÿ�.
�����8�� f��� secadm(1M) /ƿ��Ƽ�� ����Ͽ� ��ū ����ڿ� ����; �ۼ��� �� �ֽ4ϴ�. ���� ���忡���� �ټ��� slots; �ۼ��Ͽ� ���� �?� �wα��� ���� ��ū; ���� �� �ֽ4ϴ�. ���⼭�� ����; '�� ȣ��Ʈ�� Directory Server ���8�� ��d�Ͽ� �⺻���� �� ���� ����; ����Ѵٰ� ��d�մϴ�. ���� ����Ʈ���� �?� �wα��� ���� ���带 ����ϴ� ���: ���� ���� fǰ ���?�� ��v�Ͻʽÿ�.
�⺻ ���Կ� ������ ��ū ����ڿ� ����; �ۼ��Ϸx� ��= �ܰ踦 �����մϴ�.
- secadm /ƿ��Ƽ�� �����մϴ�.
$ CryptoPath/bin/secadm
�⺻ CryptoPath�� /opt/SUNWconn/crypto�Դϴ�.
- ��ū ����; �ۼ��մϴ�.
secadm> create realm=dsrealm
System Administrator Login Required
Login: super-user
Password:
Realm dsrealm created successfully.- �ۼ��Ϸt� ����ڰ� ���Ե� ����; ��d�մϴ�.
secadm> set realm=dsrealm
secadm{dsrealm}> su
System Administrator Login Required
Login: super-user
Password:
secadm{root@dsrealm}#- SSL�� ������ Directory Server�� �ٽ� ������ �� ���Ǵ� ��й�ȣ�� f���Ͽ� �⺻ ����; ����� nobody ����ڸ� �ۼ��մϴ�.
secadm{root@dsrealm}# create user=nobody
Initial password: password
Confirm password: password
User nobody created successfully.
secadm{root@dsrealm}# exit��f nobody@dsrealm ��ū�� ����ڿ� ������ �ۼ��Ǿ�8�� Directory Server�� �ٽ� ������ �� ���Ǵ� ��й�ȣ�� f���߽4ϴ�.
���� ���ε� ������ ������ ���ε�: Directory Server�� ���忡 ���ε��� �� �ֵ��� ���ϴ� �ܺ� ���� ����� ���; ����մϴ�. �پ��� SSL �˰?��; ����ϴ� Directory Server ���� �����ͺ��̽��� �ܺ� ���� ��� ���� ���ε�; ���Ϸx� ��= �ܰ踦 �����մϴ�.
- modutil; ����ϱ� �� LD_LIBRARY_PATH�� ��d�մϴ�.
$ set LD_LIBRARY_PATH=ServerRoot/lib ; export LD_LIBRARY_PATH
- ���� ��� �����ͺ��̽��� ��; ��� �Ʒ� ���; �����Ͽ� �ۼ��մϴ�.
$ cd ServerRoot/shared/bin
$ ./modutil -create -dbdir ../../alias -dbprefix "slapd-serverID"- �ܺ� ���� ���; ���� ��� �����ͺ��̽��� �߰��մϴ�.
$ ./modutil -add "Crypto Mod" -dbdir ../../alias -nocertdb \
-libfile CryptoPath/lib/libpkcs11.so \
-mechanisms "RSA:DSA:RC4:DES" -dbprefix "slapd-serverID"�⺻ CryptoPath�� /opt/SUNWconn/crypto�Դϴ�.
- ���� ���; �����Ͽ� ����� f��� �߰��Ǿ���� Ȯ���մϴ�.
$ ./modutil -list -dbdir ../../alias -dbprefix "slapd-serverID"
�ܰ� 3���� �߰��� Crypto Mod ���� ǥ�õǾ�� �մϴ�.
- �� �ܺ� ���� ���; RSA, DSA, RC4 �� DES�� �⺻��8�� ��d�մϴ�.
$ ./modutil -default "Crypto Mod" -dbdir ../../alias \
-mechanisms "RSA:DSA:RC4:DES" -dbprefix "slapd-serverID"�̷��� �ϸ� �⺻ ���� ����� f��� ����˴ϴ�.
��f ���� ���忡 ���� ���ε�; ����8�Ƿ� ����� ��n�� �� �ֽ4ϴ�.
���� ��n�1�SSL; �����ϱ� �� ���� ǥ A-1�� ����� ��� ��: ���� ����� CA ����� ��n�;� �մϴ�. ����� ��n�7x� ��= �ܰ踦 �����մϴ�.
- ���� ���� .p12 ����; ��n�ɴϴ�.
$ cd ServerRoot/shared/bin
$ ./pk12util -i ServerCert.p12 -d ../../alias -P "slapd-serverID" \
-h "nobody@dsrealm"
Enter Password or Pin for "nobody@dsrealm": password
Enter Password for PKCS12 file: password- CA ����� ��n�ɴϴ�.
$ ./certutil -A -n "Crypto CA Cert" -t CT -i CACert.txt \
-d ../../alias -P "slapd-serverID" -h "nobody@dsrealm"- ��ū�� ��õ� ����� �����Ͽ� ����� f��� ��n�Դ��� Ȯ���մϴ�.
$ ./certutil -L -d ../../alias -P "slapd-serverID" \
-h "nobody@dsrealm"��f ����� ��n��8�Ƿ� Directory Server���� SSL ����; ����ϵ��� ������ �� �ֽ4ϴ�.
SSL �����ۼ��� ��ū�� ��й�ȣ, �ܺ� ���� ���� Directory Server ���� �����ͺ��̽� ���� ���� ���ε�, ���� ��n�� ����� ����Ͽ� Directory Server�� ���� ���� ���۵ǵ��� ������ �� �ֽ4ϴ�. SSL; �����ϰ� Directory Server�� ���� ���� �ٽ� �����Ϸx� ��= �ܰ踦 �����մϴ�.
- SSL ��� Directory Server ���� ��; �����ϱ� '�� ��d �۾��� ���� ssl.ldif ����; �ۼ��մϴ�.
�ڵ� �� A-1 ���带 ����Ͽ� SSL; Ȱ��ȭ�ϱ� '�� ��d �۾�(ssl.ldif)
dn: cn=RSA,cn=encryption,cn=config
changetype: add
objectclass: top
objectclass: nsEncryptionModule
cn: RSA
nsSSLToken: nobody@dsrealm
nsSSLPersonalitySSL: ServerCertNickname1
nsSSLActivation: on
dn: cn=encryption,cn=config
changetype: modify
replace: nsSSL3
nsSSL3: on
-
replace: nsSSLClientAuth
nsSSLClientAuth: allowed
-
replace: nsSSL3Ciphers
nsSSL3Ciphers: -rsa_null_md5,+rsa_rc4_128_md5,+rsa_rc4_40_md5,
+rsa_rc2_40_md5,+rsa_des_sha,+rsa_fips_des_sha,+rsa_3des_sha,
+rsa_fips_3des_sha,+fortezza,+fortezza_rc4_128_sha,
+fortezza_null,+tls_rsa_export1024_with_rc4_56_sha,
+tls_rsa_export1024_with_rc4_56_sha,
+tls_rsa_export1024_with_des_cbc_sha
-
replace: nsCertfile
nsCertfile: alias/slapd-serverID-cert8.db
-
replace: nsKeyFile
nsKeyFile: alias/slapd-serverID-key3.db
dn: cn=config
changetype: modify
replace: nsslapd-secureport
nsslapd-secureport: port
-
replace: nsslapd-security
nsslapd-security: on
1 �� ��Ī: Directory Server ����� ���ԵǾ� �ֽ4ϴ�.
���⼭ nsslapd-secureport ���� port�� ���� ���� ���۵� Directory Server���� SSL ����; ����ϴ� ��Ʈ�Դϴ�.
- ��d �۾�; ����Ͽ� Directory Server ����; �����մϴ�.
$ ldapmodify -p currPort -D "cn=directory manager" -w password -f ssl.ldif
���⼭ currPort�� Directory Server���� ���� Ŭ���̾�Ʈ ��û; ����ϴ� ��Ʈ ��ȣ�Դϴ�.
- Directory Server�� ���� ���� �ٽ� �����մϴ�.
$ ServerRoot/slapd-serverID/restart-slapd
Enter PIN for nobody@dsrealm: password���⼭ password�� nobody@dsrealm ��ū; �ۼ��� �� �Է��� nobody ����� ��й�ȣ�Դϴ�.
��f Directory Server�� ��d�� ��Ʈ���� SSL Ʈ����; ����մϴ�. �� ��Ʈ���� SSL; ���� Directory Server�� �����ϵ��� Sun Java System Administration Server�� Ŭ���̾�Ʈ �?� �wα�; ������ �� �ֽ4ϴ�. �ڼ��� ����: 11��, "���� �� ��ȣȭ ��"�� ��v�Ͻʽÿ�.