設定目錄伺服器中的 SASL 加密層級

配置 SASL 機制之前，必須先指定是否需要加密。SASL 加密的需求，由安全性強度係數 (SSF) 的最大值與最小值所設定。

dsSaslMinSSF(5dsat) 與 dsSaslMaxSSF(5dsat) 屬性代表加密金鑰長度，這些屬性儲存於 cn=SASL, cn=security, cn=config 之中。

伺服器允許任何層級的加密，包含不加密。這表示目錄伺服器接受大於 256 的 dsSaslMinSSF 與 dsSaslMaxSSF 值。但目前沒有任何 SASL 機制支援大於 128 的 SSF。目錄伺服器會在 SSF 可用的最大值 (128) 以內協調這些值。因此，視可用的基礎機制之不同，SSF 實際上的最大值可能會小於配置的最大值。

SASL 安全性係數認證取決於兩個主要項目：伺服器與用戶端應用程式所請求的最小與最大係數，以及基礎安全性元件所提供的可用加密機制。概略地說，伺服器與用戶端會嘗試使用小於或等於兩者之最大設定係數，但大於或等於兩者之最小係數的最高可用安全性係數。

目錄伺服器預設的最小 SASL 安全性係數 dsSaslMinSSF 為 0，表示沒有任何保護。除非您變更目錄伺服器的最小值，否則實際上的最小值取決於用戶端設定。實務上應將最小值設為您實際上要讓伺服器與用戶端使用的最低層級。若伺服器與用戶端無法協調出符合最小需求的機制，則不會建立連線。

需要 SASL 加密

無法使用 DSCC 執行此作業。請依照此程序中的說明使用指令行。

1. 若需要 SASL 加密，請將 dsSaslMinSSF 值設為所需的最小加密。

   $ ldapmodify -h host -p port -D cn=admin,cn=Administrators,cn=config -w - Enter bind password: dn: cn=SASL, cn=security, cn=config changetype: modify replace: dsSaslMinSSF dsSaslMinSSF: 128 ^D

不允許 SASL 加密

無法使用 DSCC 執行此作業。請依照此程序中的說明使用指令行。

1. 若不允許 SASL 加密，請將 dsSaslMinSSF 與 dsSaslMaxSSF 值都設為零。

   $ ldapmodify -h host -p port -D cn=admin,cn=Administrators,cn=config -w - Enter bind password: dn: cn=SASL, cn=security, cn=config changetype: modify replace: dsSaslMinSSF dsSaslMinSSF: 0 replace: dsSaslMaxSSF dsSaslMaxSSF: 0 ^D