可以使用 DSCC 或 dsconf set-server-prop 命令修改用户目录服务器的 LDAP 端口号或 LDAPS 安全端口号。
如果更改端口号,请注意以下事项:
如果设置了非特权端口号,并将目录服务器安装到其他用户可以访问的计算机上,则该端口号可能存在被其他应用程序占用的危险。换句话说,其他应用程序可能会绑定到相同的地址/端口对。此恶意应用程序可能会接着处理针对目录服务器的请求。也就是说,此恶意应用程序可用于捕获验证过程中使用的密码,从而更改客户端请求或服务器响应,或者产生拒绝服务攻击。要避免出现这种安全风险,请使用 listen-address 或 secure-listen-address 属性指定目录服务器所侦听的接口(地址)。
如果使用命令行更改端口号,请注意以下事项:
如果在其他服务器上定义的复制协议中引用了目录服务器,则必须更新此复制协议以使用新的端口号。
如果以前使用过 DSCC 管理服务器,则更改端口号后将暂时无法查看此服务器。要再次查看此服务器,必须先取消注册此服务器,然后在 DSCC 中使用新端口号对其进行重新注册。
您可以使用 DSCC 执行此任务。有关信息,请参见目录服务控制中心界面和 DSCC 联机帮助。
在进行修改后,您必须重新启动服务器以使更改生效。
验证端口的现有设置。
$ dsconf get-server-prop -h host -p port port-type |
其中 port-type 为以下任一选项:
LDAP 默认端口
LDAPS 安全端口
DSML 默认端口
DSML 安全端口
例如,要显示 LDAPS 安全端口,请键入:
$ dsconf get-server-prop -h host1 -p 2501 ldap-secure-port Enter "cn=Directory Manager" password: ldap-secure-port : 2511 |
如果返回结果为整数,则端口处于启用状态。如果返回结果为 disabled,则端口处于禁用状态。
还可以使用 dsadm 列出 LDAP 默认端口和 LDAPS 安全端口
修改端口号或启用端口(如果需要)。
$ dsconf set-server-prop -h host -p port port-type:new-port |
例如,要将 LDAP 端口号从 1389 更改为 1390,请使用以下命令:
$ dsconf set-server-prop -h host1 -p 1389 ldap-port:1390 |
要在端口号 2250 上启用 DSML 安全端口,请使用以下命令:
$ dsconf set-server-prop -h host1 -p 1389 dsml-secure-port:2250 |
禁用端口(如果需要)。
$ dsconf set-server-prop -h host -p port port-type:disabled |
例如,要禁用 DSML 安全端口,请使用以下命令:
$ dsconf set-server-prop -h host1 -p 1389 dsml-secure-port:disabled |