Borland CaliberRM/StarTeam 2005使用LDAP实现统一用户认证(二)

作者：郝建材

前文介绍了在一般 方式下，CaliberRM与StarTeam 2005用Active Directory（简称AD）实现LDAP集中用户认证登录的方法，而很多企业里面，AD或LDAP服务器里存储的是比较敏感的信息，有保密的要求，而 一般情况下LDAP的访问是明文方式的，很容易被人窃取这些敏感信息。本文就介绍一下如何实现在传输的时候，加上SSL安全措施。

 

1 配置证书服务器

要在网络传输中启用SSL层，需要在域控制器上配置证书服务器，SSL需要使用证书服务器提供的公钥实现加密传输的协商过程，如果还没有安装证书服务，应该在域服务器上安装。如果希望通过网络方式申请证书，应首先安装IIS。

安装过程：

1）控制面板->添加删除程序->添加删除Windows组件，从中选择安装“证书服务”。

2）点击下一步，这时会有“安装证书后，计算机名和域成员身份都不能更改...”的提示，点击是；

3）下一步，选择企业根CA，其他缺省设置即可；（注：独立CA可能无法实现LDAP的SSL访问）

4）按向导按下一步继续安装，直到证书服务安装完成。

安装完成后，需要配置域控制器进行证书自动注册：

1）从 控制面板->域控制器安全策略 打开“默认域控制器安全设置”窗口；

2）选择“安全设置”－>“公钥策略”；

3）右键点击“自动证书申请设置”，选择“新建->自动证书申请...”；

4）弹出自动证书申请设置向导，点击下一步，证书模板选择“域控制器”；

5）点下一步，直到完成设置。

到此，证书服务的安装配置已经完成。

 

2 设置CaliberRM和StarTeam的目录服务器，启用SSL

按前文设置目录服务的步骤进行设置：

在CaliberRM的目录服务设置时，选上SSL核选框，并设置端口为 636；

在StarTeam的目录服务设置时，选上Use a secure port核选框，并设置端口为636；

需要注意的是，使用AD实现的LDAP SSL访问，必须使用DNS能够解析的计算机名，不能直接使用IP地址，因此在Host一栏，必须填写 AD服务器的计算机DNS名。

其他设置不变。

重启CaliberRM、StarTeam即完成设置，就可以使用加入了SSL的安全LDAP访问。

 

3 注意事项

3.1 要使用企业CA，而不是独立CA；

3.2 要使用LDAP服务器的DNS名，不要直接用IP地址；

3.3 这点也很重要，就是运行CaliberRM和StartTeam的客户端计算机必须加入域；

3.4 LDAP QuickStart Manager好像无法在AD服务中使用SSL，只能用一般方式；

3.5 如果确信所有配置均正确，但仍无法连接LDAP服务，可以尝试一下重新启动CaliberRM或StarTeam服务，因为可能在系统启动时自动启动的CaliberRM服务没有很好的初始化安全设置，以至于无法启用SSL。