Mac OS X Leopard与目录服务(AD/OD)集成宝典(5)

5. LDAP服务的安全

当你和一个目录服务通许的时候，除非你采取额外步骤加密通讯那么用户信息时以明码方式传输的. 在一些机构中, 例如医院和研究机构，这个不仅仅是不可接受的，而且是违法的. 任何个人信息通过公共网络传输时，都需要注意保护密码数据.

在实际中, 在LDAP传输中要处理两种细心: 密码数据和记录数据. 这些数据一般地被分别存储在服务器上, 并使用不同的协议来传输(理想地),因为LDAP来源于固有的不安全. 在OD和AD中, 密码数据是由Kerberos处理的, 而记录数据由LDAP处理.以为Kerberos是一个很安全的协议, 密码很安全. 为了使记录数据安全，一般地管理员使用SSL来加密LDAP通讯。

A. 生成服务器安全证书

在可以使用SSL加密之前，你需要获得一个安全证书. 你或者生成一个自签名证书，或者从根证书提供商那里购买(VeriSign, Thawte等). 你应该使用根证书， 而对于我们这个练习使用自签名证书。

Mac OS X服务器已经预设了一个自签名证书，进入Server admin选择工具栏中的"Certificates"按钮，选择表中"Default"可找到按字符顺序排列的证书.

更多的详细信息可以从上一节中的Server administration手册得到。

B. 在OD上实施SSL

执行下面的步骤来使主OD的LDAP服务安全.
1. 在Server Admin-> [你的服务器名]->Open Directory->Settings->LDAP里，选中"Enable SSL"项，并在证书下拉列表中选择默认的"Default"服务器证书

2. 点击"Policy"标签，然后Binding标签. 默认情况目录绑定是打开的，但不是强制的. 如果你不希望匿名用户可以访问你的目录记录，那么选择"Require clients to bind to directory".

3. 在Binding标签中的安全一节中, 由附加的提升LDAP服务安全级别的选项, 它们改进安全性的同时，也有可能阻止合法用户. 如果在你的环境中有老式系统，你需要测试每一个选项对他们的影响。

注: 你必须配置你的客户端机器也使用SSL.

4. 解除客户端的OD绑定并把主OD降级为单独的普通服务器. (译者注: 为了进行下面小节6的操作)