5. LDAP服務的安全

當你和一個目錄服務通許的時候，除非你采取額外步驟加密通訊那么用戶信息時以明碼方式傳輸?shù)? 在一些機構中, 例如醫(yī)院和研究機構，這個不僅僅是不可接受的，而且是違法的. 任何個人信息通過公共網(wǎng)絡傳輸時，都需要注意保護密碼數(shù)據(jù).

在實際中, 在LDAP傳輸中要處理兩種細心: 密碼數(shù)據(jù)和記錄數(shù)據(jù). 這些數(shù)據(jù)一般地被分別存儲在服務器上, 并使用不同的協(xié)議來傳輸(理想地), 因為LDAP來源于固有的不安全. 在OD和AD中, 密碼數(shù)據(jù)是由Kerberos處理的, 而記錄數(shù)據(jù)由LDAP處理. 以為Kerberos是一個很安全的協(xié)議, 密碼很安全. 為了使記錄數(shù)據(jù)安全，一般地管理員使用SSL來加密LDAP通訊。

A. 生成服務器安全證書

在可以使用SSL加密之前，你需要獲得一個安全證書. 你或者生成一個自簽名證書，或者從根證書提供商那里購買(VeriSign, Thawte等). 你應該使用根證書， 而對于我們這個練習使用自簽名證書。

Mac OS X服務器已經(jīng)預設了一個自簽名證書，進入Server admin選擇工具欄中的"Certificates"按鈕，選擇表中"Default"可找到按字符順序排列的證書.

更多的詳細信息可以從上一節(jié)中的Server administration手冊得到。

B. 在OD上實施SSL

執(zhí)行下面的步驟來使主OD的LDAP服務安全.
1. 在Server Admin-> [你的服務器名]->Open Directory->Settings->LDAP里，選中"Enable SSL"項，并在證書下拉列表中選擇默認的"Default"服務器證書

2. 點擊"Policy"標簽，然后Binding標簽. 默認情況目錄綁定是打開的，但不是強制的. 如果你不希望匿名用戶可以訪問你的目錄記錄，那么選擇"Require clients to bind to directory".

3. 在Binding標簽中的安全一節(jié)中, 由附加的提升LDAP服務安全級別的選項, 它們改進安全性的同時，也有可能阻止合法用戶. 如果在你的環(huán)境中有老式系統(tǒng)，你需要測試每一個選項對他們的影響。

注: 你必須配置你的客戶端機器也使用SSL.

4. 解除客戶端的OD綁定并把主OD降級為單獨的普通服務器. (譯者注: 為了進行下面小節(jié)6的操作)

Mac OS X Leopard與目錄服務(AD/OD)集成寶典(5)