以下过程介绍如何将目录服务器配置为使用 DIGEST-MD5。
无法使用 DSCC 执行此任务。请使用命令行,如以下过程所述。
使用 ldapsearch 命令验证 DIGEST-MD5 是否为根条目上的 supportedSASLMechanisms 属性值。
例如,以下命令显示启用了哪些 SASL 机制:
$ ldapsearch -h host -p port -D cn=admin,cn=Administrators,cn=config -w - \ -s base -b "" "(objectclass=*)" supportedSASLMechanisms Enter bind password: dn: supportedSASLMechanisms: EXTERNAL supportedSASLMechanisms: DIGEST-MD5 supportedSASLMechanisms: GSSAPI |
如果未启用 DIGEST-MD5,请将其启用。
$ ldapmodify -h host -p port -D cn=admin,cn=Administrators,cn=config -w - Enter bind password: dn: cn=SASL, cn=security, cn=config changetype: modify add: dsSaslPluginsEnable dsSaslPluginsEnable: DIGEST-MD5 - replace: dsSaslPluginsPath dsSaslPluginsPath: SASL-library |
其中 SASL-library 为以下任一选项:
/usr/lib/mps/sasl2
install-path/dsee6/private/lib
为 DIGEST-MD5 使用默认标识映射,或创建新的映射。
有关信息,请参见DIGEST-MD5 标识映射。
对于将使用 DIGEST-MD5 通过 SSL 访问服务器的所有用户,确保以 {CLEAR} 形式存储密码。
有关密码存储模式的信息,请参见第 8 章,目录服务器密码策略。
如果修改了 SASL 配置条目或某个 DIGEST-MD5 标识映射条目,请重新启动目录服务器。