在安装过程中,驱动程序将会收集必需的信息,并创建默认的安全性策略和参数。 开始自定义 Active Directory 驱动程序之前,应该熟悉以下项目:
了解这些参数的相互配合方式以及与操作系统的配合方式,有助于确定实现 Identity Manager 数据同步安全性的方法。
鉴定 ID: 驱动程序用来访问域数据的帐户。
鉴定环境: 用于访问域数据的环境。
应用程序口令: 鉴定 ID 帐户的口令。
使用签名: 此参数可以在 Active Directory 驱动程序和 Active Directory 之间使用,但不能在 Metadirectory 引擎和远程装载程序之间使用。 签名可确保恶意计算机不会截取数据。 如果没有使用 LDAP SSL 端口,则此标志可启用 Active Directory 连接的签名。
此设置需要在两台服务器上使用 Windows 2003 或带有最新支持包的 Windows 2000,以及 Internet Explorer 5.5 SP2 或更高版本。 这可以启用 Kerberos 或 NTLM v2 已鉴定连接的签名。
与 SSL 一样,此参数对初始导入不可用。 安装完成后可通过《驱动程序参数》页设置该参数。
使用签署: 此参数可以在 Active Directory 驱动程序和 Active Directory 之间使用,但不能在 Metadirectory 引擎和远程装载程序之间使用。 签署可以加密数据,使网络监视程序不能查看这些数据。 如果没有使用 LDAP SSL 端口,则此标志可启用 Active Directory 连接的签署。
此设置需要在两台服务器上使用 Windows 2003 或带有最新支持包的 Windows 2000,以及 Internet Explorer 5.5 SP2 或更高版本。 这可以启用对 Kerberos 或 NTLM v2 已鉴定连接的加密。
与 SSL 一样,此参数对初始导入不可用。 安装完成后可通过《驱动程序参数》页设置该参数。
使用 SSL: 此参数可以在 Active Directory 驱动程序和 Active Directory 之间使用。 如果使用 LDAP SSL 端口连接到 Active Directory,则此参数可控制加密。 此参数适用于《协商》和《简单》鉴定方法。
默认情况下,此参数设置为《否》。如果将此值设置为《是》,则为整个对话加密 SSL 管道。 由于驱动程序通常会同步敏感信息,因此最好使用加密的管道。 但是,加密将会减慢服务器的常规性能。
导入驱动程序之后,可通过《驱动程序参数》页配置此参数。
Table 6-3 建议的设置
如果选择了《简单》鉴定机制,则建议使用 SSL,因为《简单》鉴定以明文形式传递口令。