附录 B   Directory Proxy Server 常见问题、功能和疑难解答

本附录包含有关 Sun ONE Directory Proxy Server 的有用信息。它包含常见问题 (FAQ) 的解答、某些 Directory Proxy Server 功能的说明和疑难解答信息。

本附录包含以下几个部分：

· Directory Proxy Server 常见问题

· Directory Proxy Server 功能

· 疑难解答

Directory Proxy Server 常见问题

---

什么是 Directory Proxy Server？

Directory Proxy Server 是针对 LDAP 客户机和 LDAP 服务器的 LDAP 代理。基于 Directory Proxy Server 配置中定义的规则，来自 LDAP 客户机的请求被转发到 LDAP 服务器。来自服务器的结果也基于配置中定义的规则被传递回客户机。此过程对于连接到 Directory Proxy Server 的客户机是完全透明的，就像连接到任何 LDAP 服务器一样。

我为什么需要 LDAP 代理服务器？

许多企业希望使其目录信息的某些部分对于外部可见，而保留其他部分的目录信息为内部专有。利用 Directory Proxy Server，您可以轻松地实现此目标，而无需为外部客户机分配目录口令。Directory Proxy Server 还可以作为一种高可用性解决方案用于具有负载平衡和故障转移功能的企业目录服务。

还提供了其他安全功能，例如防止拒绝服务的攻击和搜索限制。

Directory Proxy Server 支持什么版本的 LDAP 协议？

Directory Proxy Server 支持使用 LDAPv2 或 LDAPv3 协议的 LDAP 客户机或链式 LDAP 服务器。

Directory Proxy Server 支持安全验证和加密吗？

Directory Proxy Server 支持 SSLv3 服务，以便使用证书进行基于公钥的数据加密。LDAP 客户机可用的安全验证和加密可以使用安全的 LDAP 端口或 Internet 传输层安全性 (TLS) 模型，该模型使用 Diffie-Hellman、数字签名标准 (DSA) 和 Triple-DES 算法。

Directory Proxy Server 能与任何启用 LDAP 的目录服务器一起使用吗？

Directory Proxy Server 可与任何符合 LDAP 的目录服务器一起使用。某些目录产品供应商在其市场宣传中声称实现了 LDAP，但事实上常常是另一码事。已经使用 Sun ONE Directory Server 对 Directory Proxy Server 进行了彻底的测试。

如果使用 Directory Proxy Server 5.0 控制台，则 Sun ONE Directory Server 5.0 是受支持的配置仓库。

是否有配置公用程序可用来配置 Directory Proxy Server？

Directory Proxy Server 5.0 包括一个基于 Java 的 GUI（控制台），可用它来配置 Directory Proxy Server。该控制台使用 Sun ONE Directory Server 来存储它生成的配置。

Directory Proxy Server 功能

---

是否可以使用 Directory Proxy Server 来防止拒绝服务的攻击？

可以。您可以限制每个连接处理的同时操作数量，每个连接所允许的操作数量，同时连接的总数，每个定义组（网络、子网或基于绑定 DN）的最大同时连接数，以及单一 IP 地址的最大同时连接数。

Directory Proxy Server 支持“反向”代理吗？

从严格意义上来讲，Directory Proxy Server 是一种反向代理；然而，LDAP 协议不支持反向代理的概念。

是否可以使用 Directory Proxy Server 来防止 LDAP 目录的“拖网”？

可以。拖网是指非常广泛的查询，被设计为用于下载您的大部分目录，这是许多站点希望禁止的行为。Directory Proxy Server 可以以许多方式来禁止或限制拖网：

· 搜索的范围可以被限制为目录树的单个层次，完整的子树可以隐藏起来，可以设置对为响应查询而返回的条目数量进行硬性限制。

· 可以禁止不等号搜索，从而不允许基于排除而返回许多结果的搜索，也可以按长度限制子字符串搜索；例如，禁止搜索以字母 A-Z 开头的姓氏的所有条目。

· Directory Proxy Server 也可以配置为拒绝没有索引的搜索。没有索引的搜索效率比较低，并可能对性能造成负面影响。

Directory Proxy Server 是否可以对查询进行自动负载平衡？

Directory Proxy Server 支持在一组后端 LDAP 服务器之间进行自动服务器负载平衡。Directory Proxy Server 还支持在主 LDAP 服务器发生故障的情况下将故障自动转移到辅助 LDAP 服务器。

一台 Directory Proxy Server 服务器可以对多少台 LDAP 服务器进行负载平衡？

目录服务器的性能需求和 Directory Proxy Server 进行的工作复杂性决定了 Directory Proxy Server 应该能够进行负载平衡的目录服务器的最佳数量。例如，如果 Directory Proxy Server 正在处理复杂的工作，如特性重命名，则配置 Directory Proxy Server 进行负载平衡处理的目录服务器数量应该减少。可以考虑添加更多 Directory Proxy Server 单元以补偿复杂的 Directory Proxy Server 配置对性能可能造成的影响。

是否可以筛选搜索请求？

可以。可以配置 Directory Proxy Server 以拒绝尝试对特定特性进行搜索的搜索。此外，您可以配置 Directory Proxy Server 来修改传入的搜索请求，以符合指定的最低搜索标准、搜索范围以及时间限制。

是否可以筛选搜索结果？

可以。可以根据返回条目的数量和结果集合中包含的特性对结果进行筛选。也可以基于条目 DN 或内容对搜索结果条目进行筛选。

访问组是如何定义的？

基于客户机的网络地址，为客户机提供了对目录的不同访问级别。因此，可以将不同访问级别授予公司防火墙外的客户机、防火墙内的客户机、行政子网上的客户机甚至单台机器。此外，在客户机成功完成 LDAP 绑定操作或建立 SSL 会话之后，还可以更改访问级别。

Directory Proxy Server 是否支持受保护的口令验证？

可以。通过使用 SASL 机制，可以实现各种受保护的口令验证方案。这些机制必须由后端目录服务器提供支持。Directory Proxy Server 不支持具有连接保护的 SASL 机制和 SASL EXTERNAL 机制。

Directory Proxy Server 是否自动跟随引荐？

跟随引荐是可以基于访问组来进行配置的。可以配置各种访问组以自动跟随引荐、返回引荐或放弃引荐。

Directory Proxy Server 是否缓存搜索结果信息？

Directory Proxy Server 版本 5.0 SP1 不支持搜索结果缓存。

Directory Proxy Server 是否可以执行特性重命名？

Directory Proxy Server 可以在客户机和服务器之间透明地重命名特性名称。

疑难解答

---

我如何才能对含有连接尝试信息的日志进行分析？

可以配置 Directory Proxy Server 以使用 syslog 或写入到指定的日志文件中。可以通过 ftp 随意从斯坦福大学获得一个称为 swatch 的流行的 UNIX 公用程序，网址是：ftp://ftp.stanford.edu/general/security-tools/swatch。可以使用 Swatch 监视 Directory Proxy Server 生成的日志文件，并在发生定义的事件时通知管理员。

我已经配置 Directory Proxy Server 为跟随引荐。然而，当我使用 LDAPv2 客户机执行搜索时出现错误 32（没有这样的对象）或某些其他错误。

为使 Directory Proxy Server 从后端服务器接收引荐，它必须使用 LDAPv3。应确保对每一个 LDAP 服务器属性选择了“仅 LDAP 3 版”。

我在日志文件中发现，即使所有后端服务器都在正常运行，某些空闲的客户机连接也定期进行故障转移。

后端目录服务器使空闲连接超时，并将其关闭。Directory Proxy Server 会对这些关闭的连接进行故障转移。您必须为 Directory Proxy Server 设置空闲连接超时。这将清理空闲和遗漏的客户机连接，并预防一种形式的拒绝服务攻击。

是否有办法限制包含存在筛选的搜索请求？

Directory Proxy Server 版本 5.0 SP1 没有任何直接的机制来限制客户机使用存在筛选。有两种间接方式来解决此问题。

可以将 ids-proxy-con-forbidden-compare 设置为您不希望被比较的特性名称。此方法限制性太强，因为它将拒绝同时包含 (mail=*) 和 (mail=Andy*) 筛选的搜索。

另一方面，由于存在筛选 (attrName=*) 始终生成相同的结果（假设数据未更改），我们可以使用 ids-proxy-con-size-limit 特性和 ids-proxy-sch-SizeLimitProperty 来限制损坏。虽然 LDAP 不要求以给定顺序返回条目，但在大多数（所有）实施方案下，结果集合都将以排序的顺序或以未排序的顺序返回，并且每次都相同。因此，如果使用大小限制来配置 Directory Proxy Server（使用 size-limit 特性或 SizeLimitProperty），则每次都将只返回这些集合的前 n 个。由于这 n 个条目只能有两组，因此极大地降低了对目录进行拖网的风险。

请注意，只要有可能，Directory Proxy Server 就试图在请求本身中设置此大小限制，因此，目录服务器将不会承担发送所有条目的负荷。

通过大小限制属性，您可以选择在必要时使用例外的大小限制。例如，假设您有一个条目 o=A，在此条目下有 400 个组织单元。在其中的每个组织单元下都有一些人。如果您希望客户机看到所有的组织单元，但每次只能看到 5 个人，那么您可以设置 SizeLimitProperty，以使其不限制基本 o=A 搜索和一级范围搜索。对于所有其他搜索，则限制为 5。

当我尝试执行一项任务或执行某些控制台功能时，获得错误消息，需要我确保 Administration Server 正常运行，并且允许该主机连接到 Administration Server。

登录到正在管理 Directory Proxy Server 的 Administration Server 上，其控制台产生错误消息。可能需要启动 Administration Server 主机上的 Sun ONE Console。打开您在其中未能成功尝试调用任务的、正在管理 Directory Proxy Server 的 Administration Server 的服务器控制台，。单击“配置”选项卡，然后单击“网络”选项卡。在“连接限制”下，确保不限制未能成功尝试管理 Directory Proxy Server 的 Sun ONE Console 主机访问 Administration Server。有关详细信息，请参阅《Sun ONE Console 服务器管理指南》。