2.3 解決安全性事宜
要考量的主要安全性事宜是驗證、加密和「遠端載入器」的使用。 如果您使用 Windows 2003 或 Windows 2000 SP3 或更新版本,請考量名為簽章的安全性選項。 請參閱安全性參數中的「使用簽章」。
因為從 Windows 獲取的安全性設定檔會因 Service Pack、DNS 伺服器基礎結構、領域規則和伺服器上之本地規則設定的不同而有所不同,所以管理安全性的方法通常比較複雜。 以下章節說明安全性選擇並提供了建議的組態。 在實作驅動程式以及升級元件時,須特別留意安全性事宜。
2.3.1 驗證方法
驗證可識別出 Active Directory (很可能還包括本地機器) 的驅動程式 Shim。 若要驗證 Active Directory,您可以使用「交涉」方法或「簡易」(簡易結合) 方法。
2.3.2 加密
保全插槽層 (SSL) 加密資料。 根據您的組態,可以在兩個地方使用保全插槽層 (SSL):
- 在 Active Directory 驅動程式和領域控制器之間
- 在 Identity Vault 和執行 Active Directory 驅動程式的「遠端載入器」之間
密碼同步化發生於 Active Directory 與 Identity Vault (eDirectory) 之間。 您需要確保所有透過網路進行的通訊都使用保全插槽層 (SSL)。
如果 Metadirectory 引擎、Identity Vault、Active Directory 驅動程式和 Active Directory 位於同一台機器上,則無需使用保全插槽層 (SSL)。 因為不需要透過網路通訊。
但是,如果您使用成員伺服器上的 Active Directory 驅動程式 Shim 來遠端存取 Active Directory,則需要在 Active Directory 驅動程式 Shim 和 Active Directory 之間設定保全插槽層 (SSL)。 若要設定 SSL,請在驅動程式組態上將保全插槽層 (SSL) 參數設定為「是」。 請參閱Section 2.3.3, 遠端載入器和 Identity Manager 之間的保全插槽層 (SSL) 連接中的Step 5。
如果您使用「領域控制器」上的「遠端載入器」,則可以在 Metadirectory 引擎和「遠端載入器」之間設定保全插槽層 (SSL)。 如需保全插槽層 (SSL) 和「遠端載入器」的其他資訊,請參閱《Novell Identity Manager 3.0 管理指南》中的「設定已連接系統」。
下表概述Section 2.2, 規劃安裝所討論之每個案例中使用保全插槽層 (SSL) 連接的位置。
Table 2-2 SSL 連接
Active Directory 驅動程式和「領域控制器」之間的保全插槽層 (SSL) 連接
若要建立與 Active Directory 領域控制器的保全插槽層 (SSL) 連接,必須設定為使用保全插槽層 (SSL)。 這包括設定證書權限以及建立、輸出和輸入必要的證書。
設定證書權限
大多數組織都擁有證書權限。 在這種情況下,您需要輸出一個有效證書,然後將其輸入至您領域控制器上的證書儲存區。 代管驅動程式 Shim 的伺服器必須託管此證書之發出證書權限所鏈結的根部證書權限。
如果您的組織沒有證書權限,則必須先建立一個。 Novell、Microsoft 及其他一些協力廠商均會提供建立證書權限的必要工具。 建立證書權限不在本指南的說明範圍。 如需相關資訊,請參閱
建立、輸出和輸入證書
具備證書權限後,要想讓輕量目錄存取協定 (LDAP) 保全插槽層 (SSL) 正常運作,輕量目錄存取協定 (LDAP) 伺服器還必須安裝適當的伺服器權限證書。 同時,代管驅動程式 Shim 的伺服器必須託管發出那些證書的權限。 伺服器和用戶端都必須支援 128 位元加密。
-
產生符合下列 Active Directory 輕量目錄存取協定 (LDAP) 服務要求的證書:
- 輕量目錄存取協定 (LDAP) 證書位於「本機電腦」的「個人」證書儲存區 (在程式上稱為電腦的「我的」證書儲存區)。
- 「本機電腦」的儲存區中必須具備與證書相符的私密金鑰,而且該金鑰必須與證書正確關聯。
請勿對私密金鑰啟用增強式私密金鑰保護。
- 「增強金鑰使用方法」延伸包含「伺服器驗證」(1.3.6.1.5.5.7.3.1) 物件識別碼 (也稱為 OID)。
- 領域控制器之 Active Directory 完全合法的領域名稱 (例如 DC01.DOMAIN.COM) 會出現於下列其中一個位置:
- 「標題」欄位中的「公用名稱」(CN)。
- 「標題替換名稱」延伸的 DNS 項目。
- 由領域控制器和輕量目錄存取協定 (LDAP) 用戶端託管的證書權限 (CA) 發出證書。
可以透過設定用戶端和伺服器的組態來建立託管,託管發出證書權限 (CA) 所鏈結到的根部證書權限 (CA)。
此證書允許領域控制器上的輕量目錄存取協定 (LDAP) 服務,監聽並自動接受輕量目錄存取協定 (LDAP) 和全域目錄流量的保全插槽層 (SSL) 連接。
NOTE:此資訊出現於 Microsoft 知識庫的文章 321051,How to Enable LDAP over SSL with a Third-Party Certificate Authority。請參閱本文件以取得最新的要求和其他資訊。
-
以 Windows 2000 支援的下列其中一個標準證書檔案格式輸出此證書:
- 個人資訊交換 (PFX,也稱為 PKCS #12)
- 加密訊息語法標準 (PKCS #7)
- 可辨識編碼規則 (DER) 編碼的二進位 X.509
- Base64 編碼的 X.509
-
將此證書安裝到領域控制器。
下列連結包含適用於每個支援平台的指示:
請遵循「將證書輸入至本機電腦儲存區」列出的指示。
-
請確保代管驅動程式 Shim 的伺服器和發出證書的根部證書權限之間建立有託管關係。
代管驅動程式 Shim 的伺服器必須託管發出證書權限所鏈結到的根部證書權限。
如需建立證書託管的相關資訊,請參閱「Windows 2000 Server 說明」中的「建立根部證書權限託管的規則」主題。
-
在 iManager 中,編輯驅動程式內容並將「」選項變更為「是」。
-
重新啟動驅動程式。
重新啟動驅動程式時,在領域控制器和執行 Active Directory 驅動程式 Shim 的伺服器之間允許使用保全插槽層 (SSL) 連接。
驗證證書
若要驗證證書,可以透過保全插槽層 (SSL) 驗證 AD。 使用 Windows 伺服器上的 ldifde 指令行公用程式。 若要使用 ldifde 指令:
-
開啟指令行提示
-
輸入 ldifde -f output/input file -t 636 -b administrator domain password -s computerFullName
如果是針對連接埠 636 設定您的伺服器組態,以下是可輸入之內容的範例。
ldife -f out.txt -t 636 -b administrator dxad.novell.com novell -s parent1.dxad3.lab.novell
會將輸出傳送到 out.txt 檔案。 如果您開啟檔案並找到 Active Directory 中列出的物件,表示成功建立了到 Active Directory 的保全插槽層 (SSL) 連接而且證書是有效的。
2.3.3 遠端載入器和 Identity Manager 之間的保全插槽層 (SSL) 連接
如果您使用的是「遠端載入器」,則需要設定 Metadirectory 引擎和「遠端載入器」之間的保全插槽層 (SSL) 連接,還要設定驅動程式和 Active Directory 之間的設定組態。
如需建立遠端載入器和 Identity Manager 之間保全插槽層 (SSL) 連接的相關資訊,請參閱《Novell Identity Manager 3.0 管理指南》中的「設定遠端載入器」。