配置 DSML 安全性

您可以配置接受 DSML 請求時所需的安全性層級。若要執行此作業，您必須配置 DSML 用戶端認證。

設定 DSML 用戶端認證模式。

$ dsconf set-server-prop -h host -p port dsml-client-auth-mode:dsml-mode

dsml-mode 可為下列其中之一：

• http-basic-only - 此為預設值。伺服器會使用「HTTP 授權」標頭的內容，尋找可對映至目錄中之項目的使用者名稱。此程序及其配置會透過 SSL 進行加密，但不需要用戶端憑證。相關說明請參閱 DSML 身份識別對映。

• client-cert-only - 伺服器會使用來自用戶端憑證中的憑證，進行用戶端的身份識別。使用此值時，所有 DSML 用戶端均必須使用安全 HTTPS 連接埠傳送 DSML 請求及提供憑證。伺服器會檢查用戶端憑證是否符合目錄中的項目。如需更多資訊，請參閱第 5 章, 目錄伺服器安全性。

• client-cert-first - 伺服器會嘗試先以用戶端憑證 (若有的話) 進行用戶端認證。否則，伺服器將會使用「授權」標頭的內容進行用戶端認證。

若 HTTP 請求未提供任何憑證與「授權」標頭，伺服器即會以匿名連結執行 DSML 請求。下列情況也會使用匿名連結：

• 在指定 client-cert-only 時，用戶端提供了有效的「授權」標頭，但不具憑證。

• 在指定 http-basic-only 時，用戶端提供了有效的憑證，但不具「授權」標頭。

無論用戶端認證方法為何，若已提供憑證，但不符合項目，或已指定「HTTP 授權」標頭，但此標頭無法對映至使用者項目，DSML 請求即會遭拒絕，並產生錯誤訊息 403：「禁止」。