設定 Sun ONE Portal Server 以使用安全外部 LDAP 目錄伺服器

預設安裝中，Sun™ ONE Portal Server、Sun™ ONE Identity Server，和 Sun™ ONE Directory Server 軟體都是在相同主機上執行。然而，根據部署的效能、安全性與整合需求，您可以在獨立、外部的主機上執行目錄伺服器，並使用安全套接層 (SSL) 在安全連接上讓 Portal Server 存取目錄。為了在安全連接上存取 Directory Server，必須配置 Sun™ ONE Application Server 以信任簽署目錄證書的認證機構。

設定 Sun ONE Portal Server 以使用外部 LDAP 目錄，需要下列程序：

安裝 Sun ONE Portal Server。請參閱手冊第 2 章「安裝 Sun ONE Portal Server」。

配置 Directory Server 以在 SSL 下執行。請參閱「配置 Directory Server 以在 SSL 下執行」。

建立證書資料庫。請參閱「建立證書資料庫」。

安裝「根認證機構 (CA)」證書。請參閱「安裝根認證機構 (CA) 證書」。

啟用 Directory Server 的 SSL。請參閱「啟用 Directory Server 的 SSL」。

配置 Directory Server 以在 SSL 下執行

檢驗 Directory Server (ns-slapd 程序) 與管理伺服器 (ns-httpd 程序) 是否已啟動與執行。

以超級使用者的身份，在終端機視窗啟動目錄伺服器主控台，方法是輸入：

/var/opt/mps/serverroot/startconsole

在顯示的登入視窗中，輸入 admin 作為 Directory Server 的使用者名稱輿 passphrase。

在主控台的左窗格中，展開目錄直到在「伺服器群組」下看到 Directory Server 實例。

選取 Directory Server 實例並按一下「開啟」。

選取「任務」之後選取「管理證書」。

第一次執行這個任務時，系統會要求您輸入密碼以建立證書資料庫。記住這個密碼，因為之後會需要這個密碼啟動 Directory Server。

按一下「請求」。

會出現「證書請求精靈」。遵照精靈的指示並完成這些步驟以產生證書請求。請求會傳送到「證書管理伺服器 (CMS)」以取得許可。CMS 會傳回真正的證書。儲存證書請求副本，方法是將請求資料複製到檔案。

在證書請求傳送至 CMS 之後，CMS 管理員會認可請求並將已認可的證書傳回。

取得已產生的 DS 證書與 CMS 證書。

因為 CMS 會為 DS 產生證書，所以 CMS 也必須被信任，方法是將其證書作為根 CA 匯入。

選取「管理證書」、「伺服器證書」，然後按一下「安裝」。

會出現「證書安裝請求精靈」。

將已許可的證書資料從步驟 8 複製並貼上至文字區域並遵守精靈指示的步驟以安裝證書。

成功安裝證書之後，證書會以細項項目顯示於「伺服器證書」標籤上。

選取「管理證書」與「CA 證書」，然後按一下「安裝」。

將 CMS 證書資料複製並貼上至文字區域並遵守精靈指示的步驟以安裝證書。

按一下「關閉」以關閉「管理證書」視窗。

選取「配置」。

在右窗格中，選取「設定」。

在「加密」連接埠欄位中檢驗或指定有效的連接埠編號並按一下「儲存」。

預設為 636。

按一下「加密」，為這個伺服器核取「啟用 SSL」並使用加密系列：RSA 核取方塊並按一下「儲存」。

重新啟動 Directory Server 並供應輸入於步驟 6 的證書資料庫密碼。

您的目錄現在正傾聽於 SSL 連接的 636 連接埠 (預設)。

建立證書資料庫

建立證書資料庫時，您要指定將用於密鑰對檔案的密碼。您也需要此密碼啟動伺服器，方法是使用加密的通訊。對於在變更密碼需要考慮的手冊清單，請參閱「變更密碼」或「PIN」。

在您建立與儲存公開與私人密鑰的證書資料庫中，被稱為密鑰對檔案。密鑰對檔案會用於 SSL 加密。當請求與安裝伺服器證書時會使用密鑰對檔案。在安裝後證書會儲存在證書資料庫中。密鑰對檔案會加密儲存於：

建立證書資料庫的程序會根據使用的網路容器類型而定。下列程序是要在 Sun ONE Web Server 上建立證書資料庫的指示，也可以在 Sun ONE Web Server，Enterprise Edition Administrator's Guide 找到，網址是 http://docs.sun.com。

有關在 Sun ONE Application Server 建立證書資料庫的說明，請參閱 Sun ONE Application Server 7 Administrator's Guide to Security，網址是 http://docs.sun.com。

建立證書資料庫

存取「管理伺服器」或「伺服器管理員」並選擇「安全」標籤。

對於「伺服器管理員」，您必須首先在下拉清單中選取伺服器實例。

按一下「建立資料庫」連結。

輸入資料庫的密碼。

重複上一個指令。

按一下 OK (確定)。

對於「伺服器管理員」，請按一下「套用」，然後重新啟動以使變更生效。

使用 password.conf 檔案

依預設，網路伺服器會提示管理員在啟動前輸入密鑰資料庫密碼。若您想要重新啟動未參與的網路伺服器，則您需要在 password.conf 檔案中儲存密碼。只有這樣做系統才可以被充分保護，而這個檔案和密鑰資料庫才不會被洩漏。

一般而言，您不能使用 /etc/rc.local 或 /etc/inittab 檔案啟動已啟用 Unix SSL 的伺服器，因為伺服器在啟動之前需要輸入密碼。雖然如果您將密碼保存在一個純文字檔中，就可以自動啟動已啟用的 SSL 伺服器，但仍然不建議您使用這個方法。伺服器的 password.conf 檔案應該僅屬於根或安裝伺服器的使用者，只有所有人才可以讀取與寫入存取。在 Unix 上，在 password.conf 檔案中留下已啟用 SSL 伺服器的密碼有很大的安全風險。可以存取檔案的人擁有存取已啟用 SSL 伺服器的密碼。在 password.conf 檔案中保存已啟用 SSL 伺服器密碼之前，請考慮安全風險。

安裝根認證機構 (CA) 證書

安裝根 CA 證書的程序會根據使用的網路容器類型而定。下列程序是說明在 Sun ONE Web Server 上如何安裝根 CA，也可以在 Sun ONE Web Server，Enterprise Edition Administrator's Guide 找到，網址是 http://docs.sun.com。

有關在 Sun ONE Application Server 安裝根 CA 證書的說明，請參閱 Sun ONE Application Server 7 Administrator's Guide to Security，網址是： http://docs.sun.com。

請至網路伺服器主控台並按一下「安裝證書」。

按一下這個伺服器的「證書」。

在「密鑰對檔案密碼」欄位中輸入「證書資料庫」密碼。

將證書貼到提供的文字欄位或核取單選按鈕並在文字方塊中輸入檔案名稱。按一下「提交」。

瀏覽器會顯示證書並提供新增證書的按鈕。

按一下「安裝證書」。

按一下受信任的認證機構的「證書」。

啟用 Directory Server 的 SSL

若要為 Directory Server 啟用 SSL，請編輯 AMConfig.properties 檔案。這個步驟不依賴容器且必須為 Sun ONE Web Server 與 Sun ONE Application Server完成。

若使用 Sun ONE Application Server 作為網路容器，請編輯 AMConfig.properties 檔案以指向 Sun ONE Application Server 使用的證書資料庫路徑與前置。

將 serverconfig.XML 檔案的連接埠與連接類型值從開啟模式變更為 SSL。

在對配置檔案 (AMConfig.properties and serverconfig.xml) 執行這些變更之後，請重新啟動 Web 容器

或在已啟動的 Sun ONE Portal Server 中使用適當的停止與啟動應用程式伺服器方法。

附錄F 設定 Sun ONE Portal Server 以使用安全外部 LDAP 目錄伺服器

配置 Directory Server 以在 SSL 下執行

建立證書資料庫

建立證書資料庫

使用 password.conf 檔案

安裝根認證機構 (CA) 證書

啟用 Directory Server 的 SSL

附錄F
設定 Sun ONE Portal Server 以使用安全外部 LDAP 目錄伺服器