配置目录代理服务器和后端 LDAP 服务器之间的 SSL
以下过程介绍如何配置目录代理服务器和后端 LDAP 服务器之间的 SSL。
配置目录代理服务器和后端 LDAP 服务器之间的 SSL
可使用 DSCC 执行此任务。有关信息,请参见目录服务控制中心界面和 DSCC 联机帮助。
-
配置目录代理服务器和后端 LDAP 服务器之间的安全端口。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ ldaps-port:port-number
-
配置何时将 SSL 用于目录代理服务器和后端 LDAP 服务器之间的连接。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name ssl-policy:value
-
如果 value 为 always,则始终将 SSL 用于连接。
-
如果 value 为 client,则会在客户端使用 SSL 时使用 SSL。
如果连接未使用 SSL,则可以使用 startTLS 命令将此连接升级为 SSL。
传输层安全 (Transport Layer Security, TLS) 是 SSL 的标准版本。TLS over LDAP 是经 IETF 批准的用于确保 LDAP 安全的标准方式。LDAPS 实际上是一种标准方式,但它会带来某种复杂性,例如为服务提供两个端口而不是仅使用一个端口。
-
-
选择 SSL 的协议和密码,如为目录代理服务器选择 SSL 密码和 SSL 协议所述。
-
将目录代理服务器配置为验证来自后端 LDAP 服务器的 SSL 服务器证书。
有关信息,请参见将后端目录服务器的证书添加到目录代理服务器上的证书数据库中。
-
如果后端 LDAP 服务器请求来自目录代理服务器的证书,请将目录代理服务器配置为发送 SSL 客户端证书。
有关信息,请参见将证书导出到后端 LDAP 服务器。
-
重新启动目录代理服务器实例以使更改生效。
有关重新启动目录代理服务器的信息,请参见重新启动目录代理服务器。
- © 2010, Oracle Corporation and/or its affiliates