通过 TCP 包装控制客户端-主机访问

可以使用 TCP 包装器，控制在 TCP 级别接受或拒绝连接的主机或 IP 地址。可以通过 TCP 包装限制客户端-主机访问。这样，您可以对目录服务器的初始 TCP 连接使用非主机式保护。

虽然可以为目录服务器设置 TCP 包装，但 TCP 包装可能会导致性能显著下降，特别是在拒绝服务攻击期间。要获取最佳性能，可以使用在目录服务器外部维护的基于主机的防火墙，或者使用 IP 端口过滤。

启用 TCP 包装

无法使用 DSCC 执行此任务。请使用命令行，如以下过程所述。

1. 在实例路径中的某个位置创建 hosts.allow 文件或 hosts.deny 文件。

   例如，在 instance-path/config 中创建此文件。请确保所创建的文件格式符合 hosts_access(4)。

2. 设置该访问文件的路径。

   $ dsconf set-server-prop -h host -p port host-access-dir-path:path-to-file

   例如：

   $ dsconf set-server-prop -h host -p port host-access-dir-path:/local/ds1/config "host-access-dir-path" property has been set to "/local/ds1/config". The "/local/ds1/config" directory on host1 must contain valid hosts.allow and/or hosts.deny files. Directory Server must be restarted for changes to take effect.

禁用 TCP 包装

无法使用 DSCC 执行此任务。请使用命令行，如以下过程所述。

1. 将主机访问路径设置为 ""。

   $ dsconf set-server-prop -h host -p port host-access-dir-path:""