注意 - 为了降低安全风险,请始终配置 LDAP 以及 SSL/TLS 或 Kerberos。 |
要为 LDAP 服务配置安全设置,请先指定用于向 LDAP 服务器验证设备的凭证。然后根据需要指定其他属性来支持凭证选项。
设备可以使用以下凭证集之一进行验证:
"Anonymous"(匿名)验证将设备的数据访问限制为仅可访问对所有人可用的数据。
您可以选择启用 TLS(以前称为 SSL)协议。强烈建议启用 TLS,以便安全地发送关键信息。
"Self"(自身)验证使用用户的身份和凭证来验证设备。自我验证使用 Kerberos 加密和 SASL/GSSAPI 验证方法。
"Proxy"(代理)验证对特定用户账户使用代理。
您可以选择启用 TLS(以前称为 SSL)协议。强烈建议启用 TLS,以便安全地发送关键信息。
您必须选择验证方法:"Simple (RFC 4513)"(简单 (RFC 4513))或 "SASL/DIGEST-MD5"。
必须指定代理 DN 和代理密码。代理 DN 是将用于代理验证的账户的标识名。代理密码是代理 DN 账户的密码。
如果添加 LDAP 服务器时指定端口 636,系统将配置 LDAP 和原始 TLS。如果添加 LDAP 服务器时指定任何其他端口(通常为 389),系统将配置 LDAP 和 StartTLS。有关 StartTLS 的信息,请参见 LDAP 安全属性。