使用 TCP 包裝的用戶端主機存取控制

您可以使用 TCP 包裝程式，控制連線在 TCP 上所接受或遭拒絕的主機或 IP 位址。您可以透過 TCP 包裝，限制用戶端主機的存取。如此一來，您即可對目錄伺服器的初始 TCP 連線使用非主機式保護。

雖然您可以為目錄伺服器設定 TCP 包裝，但如此可能會使效能受到嚴重影響，特別是在阻絕服務攻擊期間。使用在目錄伺服器以外維護的主機式防火牆，或使用 IP 連接埠篩選，將可達到最佳效能。

啟用 TCP 包裝

無法使用 DSCC 執行此作業。請依照此程序中的說明使用指令行。

1. 在實例路徑內，建立 hosts.allow 檔案或 hosts.deny 檔案。

   例如，您可以在 instance-path/config 中建立檔案。請確定您所建立的檔案格式符合 hosts_access(4)。

2. 設定存取檔案的路徑。

   $ dsconf set-server-prop -h host -p port host-access-dir-path:path-to-file

   例如︰

   $ dsconf set-server-prop -h host -p port host-access-dir-path:/local/ds1/config "host-access-dir-path" property has been set to "/local/ds1/config". The "/local/ds1/config" directory on host1 must contain valid hosts.allow and/or hosts.deny files. Directory Server must be restarted for changes to take effect.

停用 TCP 包裝

無法使用 DSCC 執行此作業。請依照此程序中的說明使用指令行。

將主機存取路徑設為 ""。

$ dsconf set-server-prop -h host -p port host-access-dir-path:""