可以使用传输层安全 (transport layer security, TLS) 来保护 LDAP 客户机与目录服务器之间的通信安全,从而确保保密性和数据完整性。TLS 协议是安全套接字层 (Secure Sockets Layer, SSL) 协议的一个超集。LDAP 命名服务支持 TLS 连接。但是,使用 SSL 会增加目录服务器和客户机的负荷。
以下列出了使用 TLS 的各种要求:
为 SSL 配置目录服务器和 LDAP 客户机。
要为 SSL 配置 Oracle Directory Server Enterprise Edition,请参见您使用的 Oracle Directory Server Enterprise Edition 版本的管理指南。
安装必要的安全数据库,特别是证书和密钥数据库文件。
如果您使用来自 Netscape Communicator 的较旧的数据库格式,请安装 cert7.db 和 key3.db。
如果您使用来自 Mozilla 的较新的数据库格式,请安装 cert8.db、key3.db 和 secmod.db。
cert* 文件包含可信证书。key3.db 文件中包含客户机的密钥。即使 LDAP 命名服务客户机不使用客户机密钥,也必须安装 key3.db 文件。secmod.db 文件中包含安全模块,如 PKCS#11 模块。
要设置 TLS 安全性,请参见设置 TLS 安全性。