配置属性加密

可使用 DSCC 执行此任务。有关信息，请参见目录服务控制中心界面和 DSCC 联机帮助。

1. 如果要配置属性加密的后缀中包含任何条目，都必须先将该后缀的内容导出到 LDIF 文件。

   如果后缀包含加密的属性，并且您计划使用导出的 LDIF 文件重新初始化该后缀，则可以使这些属性在导出的 LDIF 文件中保持加密状态。

2. 要启用属性加密，请使用以下命令：

   $ dsconf create-encrypted-attr -h host -p port suffix-DN attr-name cipher-name

   其中 cipher-name 可为以下任一选项：

   • des - DES 块密码

   • des3 - 3DES 块密码

   • rc2 - RC2 块密码

   • rc4 - RC4 流密码

   例如：

   $ dsconf create-encrypted-attr -h host1 -p 1389 dc=example,dc=com uid rc4

3. 要将加密的属性还原为原始状态，请使用以下命令：

   $ dsconf delete-encrypted-attr -h host -p port suffix-DN attr-name

4. 如果更改了配置以加密一个或多个属性，并且在执行导入操作前这些属性已具有值，请清除数据库缓存并删除日志。

   在数据库缓存和数据库日志中不会显示任何未加密的值。

   ---

   注 –

   如果删除这些文件，将丢失某些跟踪信息。此外，在删除这些文件之后，服务器将处于恢复模式，可能需要很长时间才能重新启动。

   ---

   清除数据库缓存和删除日志：

   1. 停止目录服务器，如启动、停止和重新启动目录服务器实例所述。

   2. 以超级用户或具有管理员权限的用户身份从文件系统中删除数据库缓存文件。

      # rm instance-path/db/__db.*

   3. 从文件系统中删除数据库日志文件。

      # rm instance-path/db/log.0000000001

   4. 重新启动目录服务器。

      服务器将自动创建新的数据库缓存文件。在重新填充缓存之前，此后缀中的操作性能可能会略受影响。

5. 使用 LDIF 文件初始化后缀，如初始化后缀所述。

   装入文件并创建相应索引之后，指定属性的所有值都将被加密。