對目錄伺服器使用 SSL

安全傳輸層 (SSL) 可在目錄伺服器及其用戶端之間提供加密通訊與可選擇的認證功能。SSL 可透過 LDAP 使用，或與 DSML-over-HTTP 搭配使用。SSL 預設會透過 LDAP 啟用，但若您使用 DSML-over-HTTP，亦可輕鬆啟用 SSL。此外，複寫經配置後亦可使用 SSL，讓伺服器之間能進行安全通訊。

若在簡單認證 (連結 DN 與密碼) 中使用 SSL，即會對伺服器所收送的所有資料進行加密。加密可確保機密度與資料完整性。用戶端可選擇性地透過簡單驗證與安全層 (SASL) 使用憑證，對目錄伺服器或第三方安全性機制進行認證。憑證型認證可使用公開金鑰加密法，防止用戶端或伺服器進行偽造或模擬。

目錄伺服器能夠在個別的連接埠上同時進行 SSL 與非 SSL 通訊。基於安全性考量，您也可以限定所有通訊皆需使用 LDAP 安全連接埠。用戶端認證也是可配置的。您可以將用戶端認證設為必要或允許項目。此設定將決定您所執行的安全性層級。

SSL 可支援 Start TLS 延伸作業，而為一般 LDAP 連線提供安全性。用戶端可連結至標準 LDAP 連接埠而使用傳輸層安全協定，以維護連線的安全性。Start TLS 作業可讓用戶端享有更大的彈性，並有利於簡化連接埠配置。

SSL 所提供的加密機制亦可用於屬性加密。啟用 SSL 可讓您對尾碼配置屬性加密，以維護資料儲存在目錄時的安全性。如需更多資訊，請參閱為屬性值加密。

如需額外的安全性，您可以透過存取控制指令 (ACI)，設定對目錄內容的存取控制。ACI 須使用特定的認證方法，同時確保資料僅可透過安全通道進行傳輸。設定 ACI，可彌補使用 SSL 與憑證的不足之處。如需更多資訊，請參閱第 6 章, 目錄伺服器存取控制。

SSL 預設會透過 LDAP 啟用，在使用 DSML-over-HTTP 時，亦可輕鬆啟用 SSL。此外，您可能會如以下幾節所述，想修改某些方面的 SSL 配置。