安全套接字层 (Secure Sockets Layer, SSL) 在目录服务器和客户端之间提供加密通信和可选验证。可以通过 LDAP 使用 SSL,也可以将 SSL 与 DSML-over-HTTP 结合使用。默认情况下通过 LDAP 启用 SSL,但如果使用 DSML-over-HTTP,则可以轻松地启用 SSL。此外,还可以将复制配置为使用 SSL 在服务器之间进行安全通信。
如果在简单验证(绑定 DN 和密码)中使用 SSL,将对服务器所接收和发送的所有数据进行加密。加密可保证保密性和数据完整性。客户端可以选择使用证书,通过简单验证和安全层 (Simple Authentication and Security Layer,SASL) 进行目录服务器验证或第三方安全机制验证。基于证书的验证使用公钥密码学,以防止伪造和模拟客户端或服务器。
目录服务器可以在单独的端口上同时进行 SSL 通信和非 SSL 通信。出于安全考虑,您还可以将所有通信限制为使用 LDAP 安全端口。客户端验证也是可以配置的。可以将客户端验证设置为必需或允许。此设置用于确定您所执行的安全级别。
SSL 可支持 Start TLS 扩展操作,从而为常规 LDAP 连接提供安全性。客户端可以绑定到标准 LDAP 端口,然后使用传输层安全协议保护连接。Start TLS 操作允许客户端具有更大的灵活性,并且有助于简化端口分配。
SSL 提供的加密机制也可用于属性加密。启用 SSL 允许您在后缀上配置属性加密,以便在目录中存储数据时保护数据。有关详细信息,请参见加密属性值。
为了获取额外的安全性,您可以通过访问控制指令 (Access Control Instruction, ACI) 设置对目录内容的访问控制。ACI 需要特定的验证方法,并可确保只能通过安全通道传输数据。通过设置 ACI,可以弥补使用 SSL 和证书的不足之处。有关详细信息,请参见第 6 章,目录服务器访问控制。
默认情况下通过 LDAP 启用 SSL,如果使用 DSML-over-HTTP,则可以轻松地启用 SSL。此外,您可能需要对 SSL 配置的某些方面进行修改,如以下部分所述。