配置屬性加密

您可以使用 DSCC 執行此作業。如需有關資訊，請參閱目錄服務控制中心介面與 DSCC 線上說明。

1. 如果要配置屬性加密的尾碼中含有任何項目，即須先將該尾碼的內容匯出至 LDIF 檔案。

   若尾碼中含有加密屬性，而您想要使用匯出的 LDIF 檔案重新初始化尾碼，可以讓屬性以匯出的 LDIF 保持加密形式。

2. 若要啟用屬性加密，請使用此指令：

   $ dsconf create-encrypted-attr -h host -p port suffix-DN attr-name cipher-name

   其中 cipher-name 為下列其中一項：

   • des - DES 區塊密碼

   • des3 - Triple-DES 區塊密碼

   • rc2 - RC2 區塊密碼

   • rc4 - RC4 串流密碼

   例如：

   $ dsconf create-encrypted-attr -h host1 -p 1389 dc=example,dc=com uid rc4

3. 若要將加密屬性回復為其原始狀態，請使用此指令：

   $ dsconf delete-encrypted-attr -h host -p port suffix-DN attr-name

4. 若您變更了配置而為一或多個屬性加密，且這些屬性在匯入作業之前即有值，請清除資料庫快取並移除記錄。

   在資料庫快取與資料庫記錄中，不會顯示任何未加密的值。

   ---

   備註 –

   若是刪除這些檔案，則會遺失某些追蹤資訊。此外，當您刪除這些檔案後，伺服器將處於回復模式，而需要很長的時間才能重新啟動。

   ---

   若要清除資料庫快取及移除記錄，請執行以下作業：

   1. 停止目錄伺服器，如啟動、停止與重新啟動目錄伺服器實例中所述。

   2. 以超級使用者或具有管理員權限的使用者身份，從檔案系統中刪除資料庫快取檔案。

      # rm instance-path/db/__db.*

   3. 從檔案系統中刪除資料庫記錄檔。

      # rm instance-path/db/log.0000000001

   4. 重新啟動目錄伺服器。

      伺服器會自動建立新的資料庫快取檔案。在重新填入快取前，此尾碼中的作業效能可能會略受影響。

5. 以 LDIF 檔案初始化尾碼，如初始化尾碼中所述。

   載入檔案且建立對應的索引時，指定屬性的所有值均將加密。