第 26 章 用戶端與目錄代理伺服器之間的連線
如需用戶端與目錄代理伺服器之間連線的簡介,請參閱「Sun Java System Directory Server Enterprise Edition 6.0 Reference」中的第 20 章「Connecting Clients to Directory Proxy Server」。
本章包含下列主題:
配置用戶端與目錄代理伺服器之間的偵聽程式
目錄代理伺服器提供安全和非安全的偵聽程式與用戶端進行通訊。如需有關目錄代理伺服器偵聽程式的資訊,請參閱「Sun Java System Directory Server Enterprise Edition 6.0 Reference」中的「Directory Proxy Server Client Listeners」。本節說明如何配置偵聽程式。
配置用戶端與目錄代理伺服器之間的偵聽程式
備註 –
本程序配置用戶端與目錄代理伺服器之間的非安全偵聽程式。若要配置安全偵聽程式,請執行相同的程序,但以 ldaps 取代 ldap。
您可以使用 DSCC 執行此作業。如需有關資訊,請參閱目錄服務控制中心介面與 DSCC 線上說明。在 DSCC 中,您可以在 [效能] 標籤上配置此特性。
-
檢視非安全偵聽程式的特性。
$ dpconf get-ldap-listener-prop -h host -p port
非安全偵聽程式的預設特性如下:
connection-idle-timeout : 1h connection-read-data-timeout : 2s connection-write-data-timeout : 1h is-enabled : true listen-address : 0.0.0.0 listen-port : port-number max-connection-queue-size : 128 max-ldap-message-size : unlimited number-of-threads : 2 use-tcp-no-delay : true
-
根據需求變更步驟 1 中所列的一或多個特性。
$ dpconf set-ldap-listener-prop -h host -p port property:new-value
例如,若要停用 host1 上執行的目錄代理伺服器實例之非安全連接埠,請執行下列指令:
$ dpconf set-ldap-listener-prop -h host1 -p 1389 is-enabled:false
注意 – 如果您計劃使用未經授權的連接埠號,則必須以超級使用者的身份執行目錄代理伺服器。
若要變更非安全的連接埠號,請執行下列指令:
$ dpconf set-ldap-listener-prop -h host -p port listen-port:new-port-number
-
請視需要重新啟動目錄代理伺服器實例以使變更生效。
對某些偵聽程式特性所進行的變更,需要重新啟動伺服器才會生效。如果必須重新啟動伺服器,dpconf 會提供警示。如需有關重新啟動目錄代理伺服器的資訊,請參閱重新啟動目錄代理伺服器。
認證目錄代理伺服器的用戶端
依預設,目錄代理伺服器配置為進行簡單的連結認證。簡單連結認證不需要其他配置。
如需有關用戶端與目錄代理伺服器之間認證的資訊,請參閱「Sun Java System Directory Server Enterprise Edition 6.0 Reference」中的「Client Authentication Overview」。如需有關如何配置認證的資訊,請參閱下列程序。
配置基於憑證的認證
如需有關用戶端基於憑證的認證的資訊,請參閱「Sun Java System Directory Server Enterprise Edition 6.0 Reference」中的「Configuring Certificates in Directory Proxy Server」。本節說明如何配置基於憑證的認證。
您可以使用 DSCC 執行此作業。如需有關資訊,請參閱目錄服務控制中心介面與 DSCC 線上說明。
備註 –
基於憑證的認證僅能在 SSL 連線上執行。
將目錄代理伺服器配置為用戶端建立 SSL 連線時必須出示憑證。
$ dpconf set-server-prop -h host -p port allow-cert-based-auth:require |
配置匿名存取
如需有關匿名存取的資訊,請參閱「Sun Java System Directory Server Enterprise Edition 6.0 Reference」中的「Anonymous Access」。如需有關如何將匿名用戶端的識別對映到其他識別的資訊,請參閱以替代使用者身份轉寄請求。
您可以使用 DSCC 執行此作業。如需有關資訊,請參閱目錄服務控制中心介面與 DSCC 線上說明。
允許未認證的使用者執行作業。
$ dpconf set-server-prop -h host -p port allow-unauthenticated-operations:true |
為 SASL 外部連結配置目錄代理伺服器
如需有關 SASL 外部連結的資訊,請參閱「Sun Java System Directory Server Enterprise Edition 6.0 Reference」中的「Using SASL External Bind」。
您可以使用 DSCC 執行此作業。如需有關資訊,請參閱目錄服務控制中心介面與 DSCC 線上說明。
-
不允許未認證的作業。
$ dpconf set-server-prop -h host -p port allow-unauthenticated-operations:false
-
要求用戶端建立連線時必須出示憑證。
$ dpconf set-server-prop -h host -p port allow-cert-based-auth:require
用戶端提供包含 DN 的憑證。
-
啟用 SASL 外部連結的用戶端認證。
$ dpconf set-server-prop -h host -p port allow-sasl-external-authentication:true
-
配置目錄代理伺服器使用的識別,以對映至後端 LDAP 伺服器上的用戶端憑證。
$ dpconf set-server-prop -h host -p port cert-search-bind-dn:bind-DN \ cert-search-bind-pwd-file:filename
-
配置目錄代理伺服器搜尋的子樹狀結構之基底 DN。
目錄代理伺服器搜尋子樹狀結構,以尋找對映至用戶端憑證的使用者項目。
$ dpconf set-server-prop -h host -p port cert-search-base-dn:base-DN
-
將用戶端憑證中的資訊對映至 LDAP 伺服器上的憑證。
-
在包含憑證的 LDAP 伺服器上命名屬性。
$ dpconf set-server-prop cert-search-user-attribute:attribute
-
將用戶端憑證的屬性對映至包含憑證的 LDAP 伺服器上項目的 DN。
$ dpconf set-server-prop -h host -p port \ cert-search-attr-mappings:client-side-attribute-name:server-side-attribute-name
例如,若要將 DN 為 cn=user1,o=sun,c=us 的用戶端憑證對映至 DN 為 uid=user1,o=sun 的 LDAP 項目,請執行下列指令:
$ dpconf set-server-prop -h host1 -p 1389 cert-search-attr-mappings:cn:uid \ cert-search-attr-mappings:o:o
-
-
(可選擇) 將 SASL 外部連結作業的請求路由至所有資料檢視或自訂資料檢視清單。
-
若要將請求路由至所有資料檢視,請執行此指令:
$ dpconf set-server-prop -h host -p port cert-data-view-routing-policy:all-routable
-
若要將請求路由至資料檢視清單,請執行此指令:
$ dpconf set-server-prop -h host -p port cert-data-view-routing-policy:custom \ cert-data-view-routing-custom-list:view-name [view-name...]
-
- © 2010, Oracle Corporation and/or its affiliates